Az Apple javítja az iOS-en kihasznált nulladik napi sebezhetőséget

A The Hacker News szerint a javított hiba, amelyet CVE-2023-42824-ként azonosítottak, egy kernel sebezhetőség, amely lehetővé teheti a helyi támadók számára a jogosultságok eszkalálását. Az Apple azt nyilatkozta, hogy az iOS 16.6 előtti verziókból is kapott bejelentéseket erről, és a probléma megoldására az ellenőrzések fejlesztését alkalmazta.

A szokásos módon a támadások természetéről és a felelősök kilétéről nem hoztak nyilvánosságra részleteket. Az Apple új frissítése a WebRTC komponenst érintő CVE-2023-5217 hibát is kezeli, amelyet a Google korábban a libvpx könyvtár puffertúlcsordulásaként írt le.

Az iOS 17.0.3 és iPadOS 17.0.3 javításokkal az Apple nemcsak az újonnan megjelent iPhone 15 sorozat szokatlan túlmelegedési problémáját kezeli, hanem összesen 17 nulladik napi sebezhetőséget is, amelyeket az év eleje óta aktívan kihasználtak az érintett eszközökön.

Két héttel ezelőtt a cupertinói székhelyű óriás kiadta az iOS és iPadOS 17.0.2-es verzióját, amely három biztonsági hibát (CVE-2023-41991, CVE-2023-41992 és CVE-2023-41993) javított ki, amelyeket biztonsági szakértők megerősítettek, hogy aktívan kihasználnak. Ezeket a nulladik napi hibákat a Cytrox, egy izraeli kémprogram-cég, használta ki arra, hogy Predator rosszindulatú programot terjesszen egy volt egyiptomi parlamenti tisztviselő iPhone-jára az év elején.

A célponttá válás veszélyének kitett felhasználók használhatják az Apple által az iOS 16-on beépített Lockdown módot, hogy csökkentsék a kémprogramok általi kihasználás kockázatát.