Apple łata iOS 15, aby wyeliminować lukę dnia zerowego
Niecały miesiąc po wydaniu mobilnego systemu operacyjnego Apple iOS 15 został zaktualizowany do wersji 15.0.2 w celu usunięcia nowo odkrytej luki w zabezpieczeniach platformy.
Luka jest skodyfikowana jako CVE-2021-30883 i ma wysoki wskaźnik ryzyka. Luka dotyczy eskalacji uprawnień i umożliwienia zewnętrznym podmiotom wykonania potencjalnie złośliwego kodu z uprawnieniami jądra.
Oficjalny opis dostarczony przez Apple stwierdza, że „aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra”.
Aktualizacja jest już dostępna i wszyscy użytkownicy urządzeń mobilnych Apple są zachęcani do jak najszybszej aktualizacji do wersji 15.0.2, ponieważ usterka jest już aktywnie wykorzystywana na wolności.
Luka dotyczyła rozszerzenia jądra systemu iOS o nazwie IOMobileFrameBuffer, które jest zwykle używane do obsługi bufora ramki ekranu. SecurityWeek poinformował, że jak dotąd w 2021 r. jest to szesnasty dzień zerowy wykryty w produktach Apple, który jest aktywnie wykorzystywany spośród 76 ataków wykorzystujących luki w naturze.
Nieco ironicznie, łatka bezpieczeństwa pojawia się bardzo krótko po zwiększeniu głównego numeru wersji systemu operacyjnego Apple, przy czym wersja 15 jest bardzo skoncentrowana na rozszerzaniu i aktualizowaniu funkcji bezpieczeństwa.
Flagową cechą dużej aktualizacji był wbudowany generator kodu uwierzytelniania wieloskładnikowego, a także rozszerzone funkcje mające na celu ograniczenie śledzenia zachowań użytkowników. To skutecznie wyeliminowało potrzebę pobierania przez użytkowników urządzeń Apple aplikacji innych firm do obsługi uwierzytelniania MFA i zautomatyzowało proces wprowadzania kodów uwierzytelniania wieloskładnikowego do środowiska, które ich wymaga.
Inną funkcją wprowadzoną w aktualizacji 15.0 jest to, co Apple nazywa Ochroną prywatności poczty. Ta nowa funkcja powinna powstrzymać marketing e-mailowy od zbierania informacji o tym, co użytkownik końcowy robi w swojej aplikacji Mail, skutecznie ograniczając reklamy ukierunkowane i minimalizując gromadzenie danych.