Aktívne zneužívané zero-day zraniteľnosti v operačných systémoch macOS, iOS, iPadOS a visionOS a prehliadači Safari

Spoločnosť Apple vydala bezpečnostné aktualizácie, ktoré opravujú 2 aktívne zneužívané zero-day zraniteľnosti v komponentoch operačných systémov macOS, iOS, iPadOS a visionOS a internetovom prehliadači Safari. CVE-2024-44308 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu a CVE-2024-44309 na realizáciu XSS útokov.

Zraniteľné systémy:

  • iOS 17 vo verziách starších ako 17.7.2
  • iOS 18 vo verziách starších ako 18.1.1
  • iPadOS 17 vo verziách starších ako 17.7.2
  • iPadOS 18 vo verziách starších ako 18.1.1
  • macOS Sequoia vo verziách starších ako 15.1.1
  • visionOS vo verziách starších ako 2.1.1
  • Safari vo verziách starších ako 18.1.1

Opis zraniteľnosti:

CVE-2024-44308 (CVSS skóre 8,8)

Bližšie nešpecifikovanú zraniteľnosť v komponente JavaScriptCode by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvoreného webového obsahu mohol zneužiť na vzdialené vykonanie kódu.

CVE-2024-44309 (CVSS skóre 6,1)

Zraniteľnosť s identifikátorom CVE-2024-44309 spočíva v nedostatočnom manažmente cookies v rámci komponentu WebKit a možno ju zneužiť na realizáciu XSS (Cross Site Scripting) útokov a získanie autentifikačných údajov vo forme cookies.

Zneužitie oboch zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí kliknúť na špeciálne vytvorený URL odkaz alebo otvoriť špeciálne vytvorený webový obsah. Vyššie uvedené zraniteľnosti sú aktívne zneužívané na macOS zariadeniach s procesormi Intel.

Zraniteľnosti objavili bezpečnostní výskumníci z Google Threat Analysis Group.

Možné škody:

  • Vzdialené vykonanie kódu
  • Neoprávnený prístup k citlivým údajom

Odporúčania:

Spoločnosť Apple odporúča bezodkladnú aktualizáciu zraniteľných systémov na najnovšiu verziu.

Zdroje: