Κλείσιμο τριών 0-day ευπαθειών, που επηρεάζουν iPhone, iPad, iPod, Apple Watch και Apple TV

[nnn]

Με επείγουσες αναβαθμίσεις, η Apple κλείνει 3 zero-day ευπάθειες στα iOS και iPadOS που είναι ενεργοί στόχοι επιθέσεων και επηρεάζουν την πλειοψηφία των προϊντων της.

Επηρεάζονται τα iPhone από την έκδοση 6s και μετά, τα iPad Air 2 και μεταγενέστερα, iPad mini 4 και τα επόμενα μοντέλα του, η τελευταία γενιά του iPod Touch, ενώ ευάλλωτα είναι και τα Apple Watch και η Apple TV.

The first flaw, tracked as CVE-2021-1782 and located in the OS kernel, is a race condition bug that could lead to an escalation of privilege, which could be exploited by an attacker using a malicious application. In plain English this it means that an attacker could use the application to gain additional privileges in the device’s operating system, which would allow them to wreak all kinds of havoc.

Meanwhile, the other two security flaws, indexed as CVE-2021-1871 and CVE-2021-1870, reside in the WebKit component, Apple’s open-source web browser engine used by the Safari browser, Mail, and various other iOS and iPadOS apps. According to the bug’s description, it stems from “a logic issue” that could be exploited by a remote attacker and allow them to execute arbitrary code. According to Vulmon, the duo of flaws could be exploited by “by persuading a victim to visit a specially crafted Web site.”

Πηγή : ESET

[nnn]

WTF? σουρωτήρι

[fadasma]

Στην πρώτη περίπτωση ο χρήστης θα έπρεπε να φορτώσει μολυσμένη εφαρμογή (που θα την είχε κόψει η apple πρώτα) και στη δεύτερη να επισκεφτεί μολυσμένο site που θα του έβγαζε warning για το security επειδή δεν θα ήταν https.

[globalnoise]

WTF? σουρωτήρι

Άστα να πάνε φίλε, δεινοπαθούμε όσοι προσωπικά και εταιρικά έχουμε iOS / macOS devices. Ζούμε μια εφιαλτική ζωή security-wise

- - - Updated - - -

Στην πρώτη περίπτωση ο χρήστης θα έπρεπε να φορτώσει μολυσμένη εφαρμογή (που θα την είχε κόψει η apple πρώτα) και στη δεύτερη να επισκεφτεί μολυσμένο site που θα του έβγαζε warning για το security επειδή δεν θα ήταν https.

Τώρα αυτά γιατί τα λες; Θες να χαλάσεις το πάρτυ;

[sdikr]

Στην πρώτη περίπτωση ο χρήστης θα έπρεπε να φορτώσει μολυσμένη εφαρμογή (που θα την είχε κόψει η apple πρώτα) και στη δεύτερη να επισκεφτεί μολυσμένο site που θα του έβγαζε warning για το security επειδή δεν θα ήταν https.

Δηλαδή ήταν χαζή η apple που έβγαλε άμεσα αναβάθμιση για το θέμα;

[kiriakk]

απλά κάποιοι νομίζουν ότι οι μόνες τρύπες είναι όσες παρουσιάζονται αναλυτικά στο ίντερνετ

[nnn]

3 ευπάθειες που επηρεάζουν σχεδόν ότι βγάζει η Apple, με ενεργή εκμετάλλευση, και με επείγουσα έκδοση patches, από την Apple, είναι business as usual για τους χρήστες των προϊόντων της

Ωραίο μενταλιτι.

[gcf]

Ουάου. Ήδη στις απαντήσεις εμφανίστηκαν choice supportive και ingroup biases

[Semsis(PC)]

Άσχετο με τον τίτλο αλλά σχετικό με ευπάθειες...
https://blog.qualys.com/vulnerabilit...-baron-samedit

[tsigarid]

the other two security flaws, indexed as CVE-2021-1871 and CVE-2021-1870, reside in the WebKit component, Apple’s open-source web browser engine

<flame on>
Τι λες τώρα, εγώ νόμιζα ότι οι open source εφαρμογές είναι ασφαλείς γιατί "ο καθένας μπορεί να ελέγξει τον κώδικα"...
<flame off>

Στην πρώτη περίπτωση ο χρήστης θα έπρεπε να φορτώσει μολυσμένη εφαρμογή (που θα την είχε κόψει η apple πρώτα) και στη δεύτερη να επισκεφτεί μολυσμένο site που θα του έβγαζε warning για το security επειδή δεν θα ήταν https.

Ότι να 'ναι λογική. Προφανώς πιστεύεις ότι δεν έχει πέσει κανείς θύμα phishing, όλα είναι θεωρία συνωμοσίας των flat Earthers.

[aiolos.01]

Vulnerabilities υπάρχουν παντού. Το θέμα είναι οτι αυτό αρνούνται να το αναγνωρίσουν οι μηλαράδες ακόμα και όταν η ίδια τους η εταιρία μιλάει για ενεργά exploits που επηρεάζουν το σύνολο των προιόντων της. Βασιλικότεροι του βασιλέως για άλλη μια φορά.

[aroutis]

Vulnerabilities υπάρχουν παντού. Το θέμα είναι οτι αυτό αρνούνται να το αναγνωρίσουν οι μηλαράδες ακόμα και όταν η ίδια τους η εταιρία μιλάει για ενεργά exploits που επηρεάζουν το σύνολο των προιόντων της. Βασιλικότεροι του βασιλέως για άλλη μια φορά.

Δεν υπάρχει τίποτα που να επιρρεάζει τα προϊόντα της apple. Τι, όχι;

[macro]

Εγω δε τα πιστευω αυτα. Ολοι ξερουμε οτι το IOS και το Linux δε κολλανε ποτε τιποτα. Δε τα πιστευω αυτα.

[userbeta7]

Και πόσα ακόμα θα υπάρχουν κανείς δεν ξέρει, το θέμα δεν είναι πόσα βρέθηκαν σε αυτές τις περιπτώσεις αλλά αν ήταν από σκοπιμότητα ή όχι και πόσο γρήγορα μπαλώθηκαν.

[Gentoo]

Vulnerabilities υπάρχουν παντού. Το θέμα είναι οτι αυτό αρνούνται να το αναγνωρίσουν οι μηλαράδες ακόμα και όταν η ίδια τους η εταιρία μιλάει για ενεργά exploits που επηρεάζουν το σύνολο των προιόντων της. Βασιλικότεροι του βασιλέως για άλλη μια φορά.

Έτσι ακριβώς. Το τι γέλιο ρίχνω με τα comments σε παραδιπλανο forum σε σχετικά μηνύματα, δεν λέγεται.
Μιλάμε οι άνθρωποι κινούνται σε παράλληλο σύμπαν.
Θα μου πεις, όταν σκας 1000αρικα για μια συσκευή, προσπαθείς να πείσεις τον εαυτό σου πως είναι αψεγάδιαστη στα πάντα. Εκεί είναι το πρόβλημα με πολλούς αιφοναδες, δυστυχώς.

Btw, υπήρξα κάτοχος iphone για 5 χρόνια, τέτοιες ψευδαισθήσεις δεν απέκτησα ποτέ.
Ίσα ίσα, αυτό μ έκανε να μη ξανασχοληθω με τέτοιες εταιρείες ποτέ ξανά.