-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Tag: iOS

Apple łata iOS. Wersja 17.3 przynosi poprawki kilku dużych podatności, w tym jednej najprawdopodobniej eksploitowanej w realnych atakach

23 stycznia 2024, 09:02 | W biegu | komentarze 2
Apple łata iOS. Wersja 17.3 przynosi poprawki kilku dużych podatności, w tym jednej najprawdopodobniej eksploitowanej w realnych atakach

Szczegóły załatanych luk dostępne są tutaj. Tym razem na uwagę zwraca duet podatności umożliwiający: W szczególności podatność CVE-2024-23222 opisywana jest z adnotacją 'mamy raport, który wspomina, że podatność jest aktywnie wykorzystywana’. Dostępna jest też wersja iOS 16.7.5, która również łata całą serię błędów (w tym wskazany powyżej). Najstarszy telefon, który…

Czytaj dalej »

Logi applowego AirDropa pozwalają na ustalenie tożsamości nadawcy. Chińskie władze pochwaliły się, że dysponują narzędziem do deanonimizacji nadawców „niebezpiecznych treści”.

15 stycznia 2024, 14:58 | Aktualności | komentarze 3
Logi applowego AirDropa pozwalają na ustalenie tożsamości nadawcy. Chińskie władze pochwaliły się, że dysponują narzędziem do deanonimizacji nadawców „niebezpiecznych treści”.

AirDrop to usługa ekosystemu Apple, która pozwala na przesyłanie plików pomiędzy urządzeniami tej firmy na niewielkich odległościach. Wykorzystuje do tego celu AWDL (Apple Wireless Direct Link) – stosunkowo szybkie połączenie peer-to-peer. Szczegóły tego protokołu zostały przybliżone już jakiś czas temu. W przypadku AirDropa, ustawienie odbioru wiadomość „“od wszystkich” pozwala na…

Czytaj dalej »

Używasz Bluetooth? Można przejąć zdalnie Twoje urządzenie (Android, Linux, macOS and iOS). CVE-2023-45866

08 grudnia 2023, 20:23 | W biegu | komentarzy 6
Używasz Bluetooth? Można przejąć zdalnie Twoje urządzenie (Android, Linux, macOS and iOS). CVE-2023-45866

Opis podatności w mówi niemal wszysto: CVE-2023-45866: Unauthenticated Bluetooth keystroke-injection in Android, Linux, macOS and iOS. Po ludzku – ktoś może sparować z Twoim telefonem czy Linuksem zewnętrzną klawiaturę i wpisywać na niej dowolne ciągi znaków (tj. np. ściągnąć malware i go uruchomić). Cała operacja nie wymaga uwierzytelnienia ani potwierdzenia….

Czytaj dalej »

Dostępny nowy iOS: 17.1 – łatający serię poważnych podatności. Wykonanie kodu przez wejście na złośliwą stronę. Łatajcie się.

26 października 2023, 23:43 | W biegu | 1 komentarz
Dostępny nowy iOS: 17.1 – łatający serię poważnych podatności. Wykonanie kodu przez wejście na złośliwą stronę. Łatajcie się.

Poza nową wersją iOS z linii 17, udostępniono też aktualizacje w linii 16 oraz 15 (tutaj wspierany jest np. iPhone 6s, który wyszedł w 2015 roku!) W iOS 17.1 załatano aż trzy podatności umożliwiające na wykonanie kodu w OS, po wejściu na zainfekowaną stronę: Impact: Processing web content may lead…

Czytaj dalej »

Kilka ciekawostek o zaawansowanym oprogramowaniu szpiegowskim umożliwiającym na zdalne zainfekowanie iPhonów oraz Androidów. Predator.

09 października 2023, 19:12 | W biegu | komentarzy 16
Kilka ciekawostek o zaawansowanym oprogramowaniu szpiegowskim umożliwiającym na zdalne zainfekowanie iPhonów oraz Androidów. Predator.

Pegasus. To hasło budzi dość jednoznaczne skojarzenia: oprogramowanie szpiegowskie, używane również w Polsce. Tymczasem na rynku dostępne jest także inne narzędzie – Predator, o podobnych możliwościach. Amnesty International dostarczyło właśnie garści szczegółów o całym rozwiązaniu. Panel administracyjny wygląda mniej więcej w ten sposób: Kolejną ciekawostką jet fakt, że narzędzie stara…

Czytaj dalej »

Kolejna podatność 0day wykorzystywana „w dziczy” załatana przez Apple. Łatajcie swoje iPhone-y (iOS 17.0.3)

05 października 2023, 15:51 | W biegu | komentarze 2

Szczegóły dostępne są w tym miejscu, gdzie czytamy o problemie klasy privilege escalation: Impact: A local attacker may be able to elevate their privileges. Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.6. Druga podatność występuje w bibliotece…

Czytaj dalej »

Apple wypuszcza pilną łatkę kilku 0dayów wykorzystywanych w realnych atakach. iOS 17.0.1 oraz iOS 16.7

21 września 2023, 21:40 | W biegu | komentarze 2
Apple wypuszcza pilną łatkę kilku 0dayów wykorzystywanych w realnych atakach. iOS 17.0.1 oraz iOS 16.7

O podatnościach można nieco więcej przeczytać tutaj. Apple dodaje że wszystkie trzy podatności były aktywnie eksploitowane: Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 16.7. Jedna z nich umożliwia wykonanie kodu w OS po wejściu na zainfekowaną stronę. Druga…

Czytaj dalej »

Apple łata ~40 podatności w iPhone, w tym luki wykorzystywane aktywnie w realnych atakach

21 maja 2023, 12:02 | W biegu | 1 komentarz
Apple łata ~40 podatności w iPhone, w tym luki wykorzystywane aktywnie w realnych atakach

Szczegóły dostępne są w opisie elementów bezpieczeństwa, które zostały naprawione w iOS 16.5. Mamy tutaj takie niespodzianki jak: Impact: Processing an image may lead to arbitrary code execution czy sporo podatności polegających na możliwości podniesienia uprawnień do uprawnień Kernela (czyli praktycznie najwyższe uprawnienia). W szczególności załatane są trzy podatności wykorzystywane…

Czytaj dalej »

Google demaskuje exploity 0days użyte na Androida oraz iOS. „Obecnie nawet mniejsi dostawcy rozwiązań spyware mają dostęp do 0dayów”

29 marca 2023, 15:35 | W biegu | komentarze 3
Google demaskuje exploity 0days użyte na Androida oraz iOS. „Obecnie nawet mniejsi dostawcy rozwiązań spyware mają dostęp do 0dayów”

Zobaczcie na te dwie kampanie opisywane na blogu Google. W jednej z nich (koniec 2022 roku) ofiara otrzymywała SMSa z rzekomym problemem z paczką. Po kliknięciu była przekierowywana na stronę z exploitem, która po zainfekowaniu telefonu kierowała na prawdziwe serwisy firm kurierskich (to ostatnie oczywiście dla niepoznaki): When clicked, the…

Czytaj dalej »

Łatajcie się szybko do iOS 16.2. Można złowrogim filmikiem wykonać kod na telefonie z uprawnieniami roota (albo i mocniej)

14 grudnia 2022, 19:23 | W biegu | komentarze 2
Łatajcie się szybko do iOS 16.2. Można złowrogim filmikiem wykonać kod na telefonie z uprawnieniami roota (albo i mocniej)

Wydany właśnie iOS 16.2 przyniósł garść nowych „ficzerów”, ale także masę poprawek błędów. Jak czytamy tutaj: CVE-2022-46694 Impact: Parsing a maliciously crafted video file may lead to kernel code execution Wykonanie kodu z uprawnieniami jądra systemu, po wyświetleniu przez ofiarę złośliwego filmiku – no nieźle… Podobnie możemy zrobić z obrazkiem…

Czytaj dalej »

WhatsApp łata krytyczne podatności. Jedną rozmową lub filmikiem można było zhackować ~telefon.

27 września 2022, 17:05 | W biegu | 1 komentarz
WhatsApp łata krytyczne podatności. Jedną rozmową lub filmikiem można było zhackować ~telefon.

Podatności zostały załatane niedawno: CVE-2022-27492 An integer overflow in WhatsApp for Android prior to v2.22.16.12, Business for Android prior to v2.22.16.12, iOS prior to v2.22.16.12, Business for iOS prior to v2.22.16.12 could result in remote code execution in an established video call. CVE-2022-27492 An integer underflow in WhatsApp for Android…

Czytaj dalej »

iPhone / iOS alert. Apple łata dwa 0daye wykorzystywane w realnych atakach, po wejściu na stronę można przejąć pełną kontrolę nad urządzeniami

17 sierpnia 2022, 22:05 | W biegu | 1 komentarz
iPhone / iOS alert. Apple łata dwa 0daye wykorzystywane w realnych atakach, po wejściu na stronę można przejąć pełną kontrolę nad urządzeniami

iOS 16 nadciąga dużymi krokami – w szczególności będziemy mieć tam świetną funkcję „zabunkrowania” (lockdown mode), zmniejszającą znacznie skuteczność ataków na urządzenia; będzie też funkcja „szybkiego łatania podatności” – bez konieczności czekania na nową wersję iOS. Tymczasem Apple wydał właśnie iOS 15.6.1 / iPadOS 15.6.1 gdzie łata dwie aktywnie eksploitowane…

Czytaj dalej »