Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Łatajcie się szybko do iOS 16.2. Można złowrogim filmikiem wykonać kod na telefonie z uprawnieniami roota (albo i mocniej)
Wydany właśnie iOS 16.2 przyniósł garść nowych „ficzerów”, ale także masę poprawek błędów. Jak czytamy tutaj:
- CVE-2022-46694 Impact: Parsing a maliciously crafted video file may lead to kernel code execution
Wykonanie kodu z uprawnieniami jądra systemu, po wyświetleniu przez ofiarę złośliwego filmiku – no nieźle…
Podobnie możemy zrobić z obrazkiem (tym razem nie mamy aż uprawnień kernela):
- CVE-2022-46693 Impact: Processing a maliciously crafted file may lead to arbitrary code execution
Jeszcze bardziej złowieszczo brzmi nieco enigmatyczne:
- CVE-2022-42842 Impact: A remote user may be able to cause kernel code execution
Nie brakuje też klasyki – czyli poprzez wejście przeglądarką na spreparowaną stronę, można wykonać kod na telefonie ofiary:
- CVE-2022-42867 Impact: Processing maliciously crafted web content may lead to arbitrary code execution
W sumie w iOS 16.2 załatano ~30 podatności – więc zalecamy jak najszybsze łatanie.
~Michał Sajdak
Warto dodać, że aktualizację dostały też starsze urządzenia (iOS 15.7.2) – https://support.apple.com/pl-pl/HT213531
SoT mizerny i bugi na iOS 16.2. Niestety, 15.7.2 nie wyszedł na nowsze modele :(