Az Apple javítja ökoszisztémájának nulladik napját
Az Apple a közelmúltban egy sor frissítést vezetett be az operációs rendszereihez és a Safari böngészőjéhez, amelyek számos sérülékenységet küszöbölnek ki, amelyeket ismeretlen fenyegetés szereplői aktívan kihasználtak. E sebezhetőségek között van két nulladik nap, amelyeket 2019 óta használnak az Operation Triangulation nevű megfigyelési kampányban.
Az első biztonsági rés, a CVE-2023-32434, egy egész számok túlcsordulási hibája a kernelben, amelyet egy rosszindulatú alkalmazás kihasználhat tetszőleges kód futtatására kerneljogokkal. A második biztonsági rés, a CVE-2023-32435, a WebKit memóriasérülési problémája, amely tetszőleges kódfuttatást eredményezhet speciálisan kialakított webtartalom feldolgozása során.
Az Apple elismerte, hogy ezt a két sebezhetőséget aktívan kihasználhatták az iOS 15.7 előtt kiadott iOS-verziókban. Elemzésük során a kutatók egy TriangleDB néven ismert kémprogram-implantátumot fedeztek fel, amelyet nulla kattintásos támadások révén juttattak el az iMessages-en keresztül, amely egy távoli kódfuttatási sebezhetőséget tartalmazott.
A kémprogramok kizárólag a memóriában vannak
Az implantátum kizárólag a memóriában működik, ami megnehezíti az észlelést, és számos adatgyűjtési és nyomkövetési képességgel rendelkezik, beleértve a fájlrendszer interakciót, a folyamatkezelést, a kulcstartó elem kibontását a hitelesítő adatok gyűjtéséhez és a földrajzi hely figyelését.
A nulladik napok mellett az Apple egy másik sebezhetőséget is befoltozott, a CVE-2023-32439-et, amely tetszőleges kódfuttatáshoz vezethet rosszindulatú webtartalom feldolgozásakor. A frissítés különféle platformokra érhető el, beleértve az iOS-t, az iPadOS-t, a macOS-t, a watchOS-t és a Safarit.
A legújabb javítások révén az Apple által idén kijavított nulladik napi sebezhetőségek száma kilencre nőtt. A korábbi frissítésekben az Apple más biztonsági réseket is feloldott, például egy WebKit-hibát (CVE-2023-23529), amely lehetővé tette a távoli kódfuttatást, valamint két hibát (CVE-2023-28205 és CVE-2023-28206), amelyek lehetővé tették a kódfuttatást emelt szintű jogosultságokkal.
