nie daj się cyberzbójom! – zapisz się bezpłatne szkolenie o bezpieczeństwie dla wszystkich

iPhone / iOS alert. Apple łata dwa 0daye wykorzystywane w realnych atakach, po wejściu na stronę można przejąć pełną kontrolę nad urządzeniami

17 sierpnia 2022, 22:05 | W biegu | 1 komentarz
Tagi: , , ,

iOS 16 nadciąga dużymi krokami – w szczególności będziemy mieć tam świetną funkcję „zabunkrowania” (lockdown mode), zmniejszającą znacznie skuteczność ataków na urządzenia; będzie też funkcja „szybkiego łatania podatności” – bez konieczności czekania na nową wersję iOS.

Tymczasem Apple wydał właśnie iOS 15.6.1 / iPadOS 15.6.1 gdzie łata dwie aktywnie eksploitowane luki:

CVE-2022-32894 Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Czyli po wejściu na odpowiednio spreparowaną stronę mamy wykonanie kodu na naszym telefonie. Oczywiście nie z pełnymi uprawnieniami, ale na to też atakujący znaleźli sposób:

CVE-2022-32893 Impact: An application may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited.

Czyli można eskalować uprawnienia aż do najwyższego poziomu (jądra systemu), a stąd już łatwo o dostęp do kamery, mikrofonu, SMSów, e-maili, etc.

Łatajcie się szybko.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. 🐏🐏🐏

    no ale jak to, miałem być bezpieczny bo mam ajfonka za kilka tysi xD

    Odpowiedz

Odpowiedz