V produktech Apple byla objevena nová aktivně využívaná zranitelnost Zero-Day

V bezpečnostních aktualizacích Apple opravil desátou zero-day zranitelnost od začátku roku, přičemž tato nejnovější se aktivně používá při útocích proti iPhonům. Bezpečnostní aktualizace jsou vydána pro iOS, iPadOS, macOS, tvOS a webový prohlížeč Safari.

Tato chyba je sledována jako CVE-2022-42856 a byla popsána jako problém se záměnou typů v enginu prohlížeče WebKit, který by se mohl spustit při zpracování speciálně vytvořeného obsahu, což by vedlo ke spuštění libovolného kódu. Chyby WebKit jsou často zneužívány, když osoba navštíví škodlivou doménu ve svém prohlížeči (nebo prostřednictvím prohlížeče v aplikaci). Spuštění libovolného kódu by mohlo poté umožnit škodlivému webu spouštět příkazy v operačním systému, nasazovat další malware nebo spyware nebo provádět jiné škodlivé akce.

Stojí za zmínku, že každý webový prohlížeč třetí strany, který je k dispozici pro iOS a iPadOS, včetně Google Chrome, Mozilla Firefox a Microsoft Edge a dalších, musí používat vykreslovací modul WebKit kvůli omezením uloženým společností Apple.

Apple vyřešil zranitelnost zero-day vylepšeným zpracováním stavu pro následující zařízení iPhone 6s (všechny modely), iPhone 7 (všechny modely), iPhone SE (1. generace), iPad Pro (všechny modely), iPad Air 2 a novější, iPad 5. generace a novější, iPad mini 4 a novější a iPod touch (7. generace). Doporučujeme aktualizace na všech vašich Apple zařízeních.

Nejnovější aktualizace iOS, iPadOS a macOS také zavádějí novou bezpečnostní funkci s názvem Advanced Data Protection for iCloud, která rozšiřuje end-to-end šifrování (E2EE) na ‌iCloud‌ Backup, Notes, Photos a další.

https://thehackernews.com/2022/12/new-actively-exploited-zero-day.html

https://www.bleepingcomputer.com/news/apple/apple-security-update-fixes-new-ios-zero-day-used-to-hack-iphones/