Οι ερευνητές της Ομάδας Ανάλυσης Απειλών της Google εντόπισαν 3 zero-day υψηλής σοβαρότητας υπό ενεργή εκμετάλλευση σε Apple OS και στο πρόγραμμα περιήγησης Chrome σε διάστημα 48 ωρών.

Η Apple ανακοίνωσε την Πέμπτη ότι κυκλοφορεί ενημερώσεις ασφαλείας που διορθώνουν δύο ευπάθειες που υπάρχουν σε iOS, macOS και iPadOS. Και οι δύο βρίσκονται στο WebKit, τη μηχανή που οδηγεί το Safari και ένα ευρύ φάσμα άλλων εφαρμογών, όπως το Apple Mail, το App Store και όλα τα προγράμματα περιήγησης που εκτελούνται σε iPhone και iPad. Ενώ η ενημέρωση ισχύει για όλες τις υποστηριζόμενες εκδόσεις του Apple OS.

«Η Apple γνωρίζει μια αναφορά ότι αυτό το ζήτημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης σε εκδόσεις του iOS πριν από το iOS 16.7.1», έγραψαν αξιωματούχοι της Apple και για τις δύο ευπάθειες, οι οποίες παρακολουθούνται ως CVE-2023-42916 και CVE-2023-42917.

Το CVE-2023-42916 είναι μια ανάγνωση εκτός ορίων που επιτρέπει στους χάκερ να αποκτούν ευαίσθητες πληροφορίες όταν οι εφαρμογές που υποστηρίζονται από το WebKit επεξεργάζονται ειδικά δημιουργημένο διαδικτυακό περιεχόμενο. Το CVE-2023-42917 είναι ένα ελάττωμα καταστροφής της μνήμης που αναγκάζει τις ευάλωτες συσκευές να εκτελούν κακόβουλο κώδικα κατά την επεξεργασία περιεχομένου που δημιουργήθηκε από χάκερ για μια εφαρμογή WebKit. Η Apple πίστωσε στον Clément Lecigne της TAG την ανακάλυψη και των δύο τρωτών σημείων. Ούτε η Apple ούτε η Google παρείχαν λεπτομέρειες σχετικά με τις επιθέσεις zero-day.

Την Τρίτη, η Google ανακοίνωσε ότι κυκλοφορεί μια ενημέρωση που διόρθωσε επτά ευπάθειες του Chrome, ένα από τα οποία ήταν zeroday, που σημαίνει ότι η Google το έμαθε αφού οι εκμεταλλεύσεις ήταν ήδη διαθέσιμες στη φύση. Η Google δεν παρείχε επιπλέον λεπτομέρειες σχετικά με την ημέρα μηδέν.

Το σφάλμα, που παρακολουθείται ως CVE-2023-6345, προέρχεται από μια υπερχείλιση ακέραιου αριθμού, μια κοινή κατηγορία ευπάθειας που επιτρέπει στους χάκερ να εκτελούν κακόβουλο κώδικα όταν οι στόχοι επεξεργάζονται ειδικά δημιουργημένο περιεχόμενο. Η ευπάθεια βρίσκεται στο στοιχείο Skia του προγράμματος περιήγησης. Η Google πίστωσε στους Benoît Sevens και Clément Lecigne της TAG για την αναφορά της ευπάθειας.

Τόσο οι ενημερώσεις της Apple όσο και της Google προωθούνται αυτόματα στις επηρεαζόμενες συσκευές.

Πηγή : Ars Technica