Apple wydaje aktualizacje naprawiającą lukę 0 day
Sprawdź darmową edukację z cyberbezpieczeństwa ↓
Tagi:  darknethakerhakingcyberatak

Apple wydaje aktualizacje naprawiającą lukę 0 day

Apple udostępniło iOS 14.8, iPadOS 14.8, watchOS 7.6.2, macOS Big Sur 11.6 i Safari 14.1.2, aby naprawić dwie aktywnie wykorzystywane luki.

Apple wydaje pilne aktualizacje naprawiające nowe luki 0 day związane z oprogramowaniem szpiegującym Pegasus. Apple udostępniło iOS 14.8, iPadOS 14.8, watchOS 7.6.2, macOS Big Sur 11.6 i Safari 14.1.2, aby naprawić dwie aktywnie wykorzystywane luki. Jedna z nich pokonała dodatkowe zabezpieczenia wbudowane w system operacyjny. 
Lista luk:

  • CVE-2021-30858 (WebKit) – Błąd związany z use after free, który mógł doprowadzić do wykonania dowolnego kodu podczas przetwarzania złośliwie spreparowanych treści internetowych. Błąd usunięto dzięki poprawionemu zarządzaniu pamięcią.
  • CVE-2021-30860 (CoreGraphics) – Błąd w przepełnieniu całkowitym, który mógł prowadzić do wykonania dowolnego kodu podczas przetwarzania złośliwie spreparowanego dokumentu PDF. Błąd naprawiono dzięki poprawieniu walidacji danych wejściowych.

“Apple jest świadome raportu, że ten błąd mógł zostać aktywnie wykorzystany” – zaznaczył producent iPhone’a w swoim poradniku.

Aktualizacje pojawiają się kilka tygodni po tym, jak badacze z Citizen Lab Uniwersytetu w Toronto ujawnili szczegóły exploita zero-day o nazwie “FORCEDENTRY“. Luke wykorzystał izraelski dostawca usług nadzoru NSO Group. Exploit rzekomo użytyo przez rząd Bahrajnu do zainstalowania oprogramowania szpiegowskiego Pegasus. Na telefonach dziewięciu aktywistów w tym kraju, od lutego tego roku wykryto tego rodzaju oprogramowanie. 

Oprócz tego, że FORCEDENTRY jest uruchamiany po prostu przez wysłanie złośliwej wiadomości do celu to FORCEDENTRY jest również godny uwagi ze względu na fakt, że wyraźnie podważa nową funkcję bezpieczeństwa oprogramowania o nazwie BlastDoor. Apple dodało ją w iOS 14, aby zapobiec włamaniom typu zero-click poprzez filtrowanie niezaufanych danych wysyłanych przez iMessage. 

”Nasze ostatnie odkrycie kolejnego dnia zerowego w Apple, zastosowanego jako część arsenału NSO Group, jeszcze bardziej ilustruje, że firmy takie jak NSO Group udostępniają “despotyzm jako usługę” dla rządowych agencji bezpieczeństwa, które nie są odpowiedzialne” – stwierdzili badacze z Citizen Lab.

Komunikatory jako główny cel ataków

“Wszechobecne aplikacje do czatowania stały się głównym celem dla najbardziej wyrafinowanych podmiotów stanowiących zagrożenie. W tym operacji szpiegowskich prowadzonych przez państwa narodowe oraz najemnych firm szpiegowskich, które je obsługują. W obecnym stanie technicznym wiele aplikacji czatowych stało się nieodpartym miękkim celem” – dodają. 

Citizen Lab twierdzi, że znalazło nigdy wcześniej niewidziane złośliwe oprogramowanie w telefonie niewymienionego z nazwiska saudyjskiego aktywisty. Łańcuch exploitów uruchamia się, gdy ofiara otrzymuje wiadomość tekstową zawierającą złośliwy obrazek GIF. W rzeczywistości jest plikami Adobe PSD (Photoshop Document files) i PDF, zaprojektowanymi w celu rozbicia komponentu iMessage. Odpowiedzialnego za automatyczne renderowanie obrazów i wdrożenie narzędzia do inwigilacji. 

CVE-2021-30858, z drugiej strony, jest najnowszym z wielu błędów WebKit zero-day, które Apple naprawił tylko w tym roku. Z tym zestawem najnowszych aktualizacji, firma załatała w sumie 15 luk zero-day od początku 2021 roku. 

Użytkownikom Apple zaleca się natychmiastową aktualizację oprogramowania w celu złagodzenia wszelkich potencjalnych zagrożeń wynikających z aktywnego wykorzystania dziur. 


Źródło: https://thehackernews.com/2021/09/apple-issues-urgent-updates-to-fix-new.html
Oceń blog:
Czas czytania: 5 min
Data: 15.09.2021

Terminarz

prev

next

Lista najbliższych webinariów

24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
20.10.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Polskie szpitale vs ransomware - co się stało w marcu 2026? Zabezpieczenia Sieci

Polskie szpitale vs ransomware - co się stało w marcu 2026?

Czytaj więcej
Chcesz kupić DDoS-a jak gumę kulkę w sklepiku? CBZC rozbiło grupę siedmiu dzieciaków w wieku 12-16 lat.

Chcesz kupić DDoS-a jak gumę kulkę w sklepiku? CBZC rozbiło grupę siedmiu dzieciaków w wieku 12-16 lat.

Czytaj więcej
Kradzież danych firmowych pod płaszczykiem fałszywych rozszerzeń AI w Chrome Microsoft

Kradzież danych firmowych pod płaszczykiem fałszywych rozszerzeń AI w Chrome

Czytaj więcej
Hakowanie kont PS5, Xbox i Nintendo Switch- jak chronić swoje skiny?

Hakowanie kont PS5, Xbox i Nintendo Switch- jak chronić swoje skiny?

Czytaj więcej
Czym jest Ransomeware as a Service?

Czym jest Ransomeware as a Service?

Czytaj więcej