Firma Apple wydała łatkę krytycznej luki w iOS, umożliwiającej wykonanie kodu z uprawnieniami jądra (kernel)

11 października 2021 roku firma Apple wydała aktualizację iOS 15.0.2 oraz iPadOS 15.0.2, zawierającą łatkę podatności CVE-2021-30883 w komponencie IOMobileFrameBuffer, umożliwiającej wykonanie kodu z uprawnieniami jądra (kernel):

Choć omawiana luka nie stanowi okazji do zdalnego wykonania kodu, może ona zostać bez większego problemu wykorzystana w tzw. łańcuchu exploitów, kiedy to połączenie kilku błędów umożliwia atakującemu przejęcie pełnej kontroli nad urządzeniem ofiary. Warto dodać, że badacz bezpieczeństwa Saar Amar opublikował techniczne opracowanie podatności CVE-2021-30883 wraz z prostym Proof of Concept, dostępnym na GitHubie:

Luka CVE-2021-30883 stanowi świetną sposobność do tzw. jailbreak, dającego użytkownikowi iPhone’a pełną kontrolę nad urządzeniem, dzięki czemu możliwe jest np. instalowanie aplikacji spoza App Store. Jeśli jednak nie interesuje Was jailbreakowanie Waszych smartfonów, koniecznie pobierzcie i zainstalujcie najnowszą aktualizację iOS 15.0.2/iPadOS 15.0.2 od Apple’a!

~ Jakub Bielaszewski