Ziņas par kiberdrošību pasaulē nekad nebeidz parādīties. Ļaunprātīgas trešās puses pastāvīgi vēršas gan pret parastajiem cilvēkiem, gan ievērojamām organizācijām atkarībā no tā, ko viņi vēlas. Attiecībā uz pēdējo viņi bieži izmanto sarežģītas metodes, kuru pamatā ir ļoti specifiskas ievainojamības, par kurām nezina pat apdraudētā tehnoloģiju produkta vai programmatūras ražotājs. Tā notika ar Apple, kas vairākām ierīcēm izsūta nulles dienas ielāpu.
Nulles dienas ievainojamības ir tās, par kurām ierīču ražotāji nezina. Tomēr potenciālie uzbrucēji varētu tos atklāt un aktīvi izmantot, kamēr tie ir pieejami. Lai gan Apple ir viens no uzņēmumiem, kas visvairāk rūpējas par savu lietotāju drošību un privātumu, tas nav brīvs no neregulāriem incidentiem.
Nulles dienas ievainojamība Apple ierīcēs, kas novērsta ar ielāpu
Šodien Apple ir izsūtījis ārkārtas atjauninājumus ar nulles dienas ielāpu vairākām ierīcēm. Attiecīgās ievainojamības ir CVE-2024-44308 un CVE-2024-44309. Pirmā ļāva patvaļīgi izpildīt kodu, apmeklējot noteiktas ļaunprātīgas vietnes, savukārt otrā izmantoja WebKit priekšrocības, lai izraisītu starpvietņu skriptēšanas (XSS) uzbrukumu.
Apple ir atklājis abas ievainojamības, atklājot, ka tās “iespējams, ir aktīvi izmantotas uz Intel balstītajās Mac sistēmās”. Tomēr uzņēmums nav sniedzis konkrētu informāciju par izmantošanas metodēm vai uzbrukumu mērķiem. Plāksteris tagad ir pieejams vairākās ierīcēs. Programmatūras versijas, kurās tas ir iekļauts, ir iOS 18.1.1/iPadOS 18.1.1, iOS 17.7.2/iPadOS 17.7.2, macOS Sequoia 15.1.1 un visionOS 2.1.1. Safari kopā ar ielāpu saņem arī 18.1.1 atjauninājumu.
Saskaņā ar ziņojumu Google draudu analīzes grupas (TAG) dalībnieki Klements Lecins un Benuā Sevens atklāja ievainojamības. Tas liek domāt, ka uzbrucēji varēja tos izmantot, lai mēģinātu pārkāpt augsta līmeņa mērķus. Tas ietver prominentus politiķus vai pārstāvjus, kas ir saistīti ar nacionālo drošību. Konkurējošās valdības, iespējams, ir finansējušas šādus uzbrukumus.
Šī nav pirmā nulles dienas ievainojamība, kas Apple šogad bija jānovērš. Uzņēmums kopumā 2024. gadā ir novērsis četrus nulles dienas programmatūras incidentus.
