Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) προειδοποιεί ότι μία διορθωμένη ευπάθεια ασφαλείας που επηρεάζει τα iPhone, τους Mac, τις τηλεοράσεις και τα ρολόγια της Apple αξιοποιείται τώρα ενεργά σε επιθέσεις.
Πρόκειται για την ευπάθεια «CVE-2022-48618» που ανακαλύφθηκε από τους ερευνητές ασφαλείας της Apple. Αποκαλύφθηκε στις 9 Ιανουαρίου 2024 σε μια ενημέρωση σε μία γνωμοδότηση ασφαλείας που είχε δημοσιευτεί τον Δεκέμβριο του 2022.
Η Apple δεν έχει ακόμη αποκαλύψει αν η ευπάθεια είχε επιδιορθωθεί σιωπηρά πριν από περισσότερα από δύο χρόνια, όταν εκδόθηκε για πρώτη φορά η γνωμοδότηση.
«Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να είναι σε θέση να παρακάμψει την πιστοποίηση δείκτη (Pointer Authentication)», αποκάλυψε η εταιρεία αυτό το μήνα. «Η Apple έχει λάβει γνώση μιας αναφοράς ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης σε εκδόσεις του iOS που κυκλοφόρησαν πριν από το iOS 15.7.1».
Τι είναι η ευπάθεια «CVE-2022-48618»
Αυτή η ευπάθεια ασφαλείας ακατάλληλου ελέγχου ταυτότητας επιτρέπει στους επιτιθέμενους να παρακάμψουν τον έλεγχο ταυτότητας δείκτη, ένα χαρακτηριστικό ασφαλείας που έχει σχεδιαστεί για να εμποδίζει τις επιθέσεις που προσπαθούν να εκμεταλλευτούν σφάλματα διαφθοράς μνήμης.
Η Apple αντιμετώπισε το σφάλμα με βελτιωμένους ελέγχους σε συσκευές που εκτελούν iOS 16.2 ή νεότερη έκδοση, iPadOS 16.2 ή νεότερη έκδοση, macOS Ventura ή νεότερη έκδοση, tvOS 16.2 ή νεότερη έκδοση και watchOS 9.2 ή νεότερη έκδοση.
Οι συσκευές που είναι ευάλωτες
Ο κατάλογος των συσκευών που επηρεάζονται από αυτήν την ενεργά εκμεταλλεύσιμη ευπάθεια είναι εκτενής. Επηρεάζει τόσο παλαιότερα όσο και νεότερα μοντέλα, όπως:
- iPad Air 3ης γενιάς και μεταγενέστερα, iPad 5ης γενιάς και μεταγενέστερα και iPad mini 5ης γενιάς και μεταγενέστερα.
- υπολογιστές Mac με macOS Ventura
- Apple TV 4K, Apple TV 4K (2ης γενιάς και μεταγενέστερα) και Apple TV HD
- Apple Watch Series 4 και μεταγενέστερα
Οι ομοσπονδιακές υπηρεσίες των ΗΠΑ διατάχθηκαν να επιδιορθώσουν την ευπάθεια μέχρι τις 21 Φεβρουαρίου
Ενώ η Apple δεν έχει ακόμη μοιραστεί περισσότερες λεπτομέρειες σχετικά με την ενεργή εκμετάλλευση του CVE-2022-48618 στην άγρια φύση, η CISA έχει προσθέσει την ευπάθεια στον Κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (Known Exploited Vulnerabilities Catalog).
Επίσης, διέταξε τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να επιδιορθώσουν το σφάλμα έως τις 21 Φεβρουαρίου, όπως απαιτείται από μια δεσμευτική επιχειρησιακή οδηγία (BOD 22-01) που εκδόθηκε τον Νοέμβριο του 2021.
Την περασμένη εβδομάδα, η Apple κυκλοφόρησε επίσης ενημερώσεις ασφαλείας για την επιδιόρθωση του πρώτου φετινού σφάλματος μηδενικής ημέρας (CVE-2024-23222) που αξιοποιήθηκε σε επιθέσεις, ένα πρόβλημα σύγχυσης του WebKit, το οποίο οι επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν για να επιτύχουν εκτέλεση κώδικα σε ευάλωτα iPhones, Mac και τηλεοράσεις Apple.