Apple ir Google ištaisė svarbias saugumo spragas
„Google“ grėsmių analizės grupės (TAG - „Threat Analysis Group“) tyrėjai, stebintys įsilaužimus, per 48 valandas atskleidė tris itin pavojingus nulinės dienos pažeidžiamumus, aktyviai naudojamus „Apple“ operacinėse sistemose ir „Chrome“ naršyklėje.
„Apple“ ketvirtadienį išleido svarbius saugos naujinimus, ištaisančius dvi „nulinės dienos“[1] saugumo spragas esančias „iOS“, „iPadOS“ ir „macOS“ sistemose, įskaitant „Safari“ atnaujinimus „macOS Monterey“ ir „macOS Ventura“. Abi saugumo spragos yra „WebKit“ – variklyje, kuris valdo „Safari“ ir daugybę kitų aplikacijų, įskaitant „Apple Mail“, „App Store“ ir visas naršykles, veikiančias „iPhone“ ir „iPad“. Nors naujinimas išleistas visoms palaikomoms „Apple“ operacinių sistemų versijoms, ketvirtadienį paskelbtoje ataskaitoje teigiama, kad pastebėta jog pažeidžiamumas buvo panaudotas ir prieš ankstesnes „iOS“ versijas.
„Apple žino, kad ši saugumo spraga galėjo būti panaudota prieš „iOS“ versijas ankstesnes nei 16.7.1“, – rašė „Apple“ pareigūnai apie abu pažeidžiamumus, kurie pažymėti kaip CVE-2023-42916 ir CVE-2023-42917.
CVE-2023-42916 leidžiantis įsilaužėliams gauti neskelbtinos ir privačios informacijos, kai „WebKit“ pagrindu veikiančios aplikacijos apdoroja specialiai sukurtą internetinį turinį.
CVE-2023-42917 yra atminties sugadinimo klaida, dėl kurios įrenginiai paleidžia kenkėjišką kodą apdorojant įsilaužėlių sukurtą „WebKit“ programos turinį. „Apple“ paminėjo Clément Lecigne iš TAG atradus abu pažeidžiamumus. Nei „Apple“, nei „Google“ informacijos apie nulinės dienos atakas nepateikė.
Antradienį „Google“ pranešė išleidžianti naujinimą, kuris ištaisė septynis „Chrome“ pažeidžiamumus, iš kurių vienas buvo nulinės dienos, o tai reiškia, kad „Google“ apie tai sužinojo tik po to, kai pažeidžiamumai jau buvo (galimai) naudojami. „Google“ nepateikė jokios papildomos informacijos, susijusios su nulinės dienos pažeidžiamumais.
Klaida, pažymėta kaip CVE-2023-6345, kyla dėl sveikųjų skaičių perpildymo – dažna pažeidžiamumo klasė, leidžianti programišiams įvykdyti kenkėjišką kodą, kai apdorojamas specialiai sukurtas turinys. Pažeidžiamumas yra naršyklės „Skia“ komponente. „Google“ mini TAG ekspertus Benoît Sevens ir Clément Lecigne kaip pranešusius apie pažeidžiamumą.
Tiek „Apple“, tiek „Google“ naujiniai yra automatiškai įkeliami į įrenginius. Naujinimai įdiegiami, kai vartotojai iš naujo paleidžia įrenginį arba naršyklę. Tikėtina, kad jei vartotojai ilgai kompiuterio ar naršyklės neperkraus - jie gaus pranešimus apie poreikį įdiegti atnaujinimą. „iOS“, „macOS“ ir „iPadOS“ naudotojai įdiegti naujinimus gali rankiniu būdu: atidarę sistemos nustatymų aplikaciją ir pasirinkę „General“. Norėdami rankiniu būdu įdiegti „Chrome“ naujinį, paspauskite ant trijų vertikalių taškų naršyklės lango viršuje, dešinėje, ir pasirinkite naujinimą arba iš meniu pasirinkite „Settings“, tada „Privacy and security“, spauskite ant „Check now“ mygtuko ir jei bus aptiktas naujinimas - vykdykite nurodymus (greičiausiai reikės perkrauti naršyklę).
-
Nulinės dienos pažeidžiamumas – tai sistemos ar įrenginio pažeidžiamumas, kuris buvo atskleistas, bet dar nepašalintas. Kadangi „nulinės dienos pažeidžiamumas“ buvo aptiktas (programišių) prieš tai, kai saugumo ekspertai ir programinės įrangos kūrėjai apie jį sužinojo (ir išleido pataisą), nulinės dienos pažeidžiamumai kelia didesnį pavojų vartotojams dėl šių priežasčių:
- Kibernetiniai nusikaltėliai skuba pasinaudoti šiais pažeidžiamumais ir pasipelnyti iš savo schemų, tad juos stengiasi išnaudoti maksimaliai aktyviai.
- Pažeidžiamos sistemos rodomos yra pažeidžiamos iki išleidžiama pataisa, o jei pažeidžiamumas (kibernetinio saugumo ekspertams) buvo nežinomas ilgesnį laikotarpį — sistemos visą tą laiką buvo pažeidžiamos.
Nulinės dienos pažeidžiamumas paprastai yra susijęs su tikslinėmis atakomis; tačiau daugelis programišių atakų kampanijų vis dar naudoja senus pažeidžiamumus.↩︎
