Правительство США приказало своим работникам немедленно обновить свои iPhone
11 апреля 2023 г.Правительственные работники США, владеющие устройствами Apple, должны до 1 мая установить последнее исправление и защитить свои конечные точки от потенциального взлома.
BleepingComputer недавно сообщил, что Агентство по кибербезопасности и инфраструктуре (CISA) приказывает федеральным агентствам применить патч, исправляющий CVE-2023-28206 и CVE-2023-28205 для iPhone, компьютеров Mac и устройств iPad.
Предположительно, уязвимости активно эксплуатируются, чтобы предоставить злоумышленникам полный доступ к целевым устройствам. «Apple известно об отчете о том, что эта проблема, возможно, активно использовалась», — говорится в бюллетене гиганта из Купертино, опубликованном вместе с исправлениями.
Много затронутых устройств
Одним из них является уязвимость IOSurface, связанная с записью за границу, которая позволяет злоумышленникам повреждать данные, вызывать сбои в работе приложений и устройств, а также удаленно выполнять код. В худшем случае злоумышленник может запустить вредоносное приложение, позволяющее им выполнять произвольный код с привилегиями ядра на устройстве.
Другой — WebKit с аналогичными последствиями: повреждение данных и выполнение произвольного кода при посещении жертвой вредоносного веб-сайта, что приводит к удаленному выполнению кода.
Недостатки устранены. в выпуске iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 и Safari 16.4.1, поэтому, если вы беспокоитесь об этих уязвимостях, обязательно обновите свои системы до последней версии как можно скорее. .
Компания Apple опубликовала список уязвимого оборудования, в который вошли все устройства iPad Pro и macOS Ventura, а также устройства iPad, iPad Mini и iPad Air: первые два — начиная с 5-го поколения, а последние — с 3-го поколения. Смартфоны, начиная с iPhone 8, также затронуты.
Компания сообщила, что ей известно о злоумышленниках, злоупотребляющих нулевыми днями, но не стала обсуждать подробности. СМИ предполагают, что злоумышленники могут быть спонсированы государством, учитывая тот факт, что недостатки были обнаружены исследователями, обычно занимающимися поиском игроков, спонсируемых государством.
Исследователями, обнаружившими недостатки, является Клеман Лесинь из Google. Threat Analysis Group и Donncha Ó Cearbhaill из Лаборатории безопасности Amnesty International. Недостатки, по-видимому, использовались как часть цепочки эксплойтов.
- Защищайтесь в Интернете с помощью этого лучшего программного обеспечения для защиты конечных точек.
Через: BleepingComputer
Оригинал