Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Apple julkaisi korjaavia kriittisiä päivityksiä iOS-laitteiden 0-päivähaavoihin

Haavoittuvuus35/2020

Uusia ja kriittisiä päivityksiä Applen iOS-laitteissa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla

Apple korjasi kuluvalla viikolla aikaistetun päivitysaikataulun mukaisesti kolme 0-päivähaavoittuvuutta (eng. zero day).

CVE-2020-27930 on mielivaltaisen ohjelmistokoodin suorittaminen laitteella ilman käyttäjän hyväksyntää

CVE-2020-27950 on käyttöjärjestelmän ytimen muistin vuotaminen.

CVE-2020-27932 on käyttövaltuuksien laajentaminen, joka mahdollistaa mielivaltaisten komentojen ajamisen laajennetuilla oikeuksilla.

Haavoittuvuudet ovat korjattu iOS 14.2 ja iPadOS 14.2 -käyttöjärjestelmäversioissa sekä vanhemman sukupolven iPhone-puhelimiessa päivityksellä iOS 12.4.9. 

Päivityksessä julkaistiin myös muita korjaavia päivityksiä Applen laitteisiin. 

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Matkaviestinjärjestelmät

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

  • Vanhemmat kuin iOS 14.2 (iPhone 6s ja uudemmat, iPod touch 7. sukupolvi)
  • Vanhemmat kuin iPadOS 14.2 (iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat)
  • Vanhemmat kuin edeltävän sukupolvien iPhone-puhelimien iOS 12.4.9. 

Ratkaisu- ja rajoitusmahdollisuudet

  • Korjaava ohjelmistopäivitys

Lisätietoja

  • https://us-cert.cisa.gov/ncas/current-activity/2020/11/06/apple-releases-security-updates-multiple-products
  • https://support.apple.com/en-us/HT201222

Tarkennettu haavoittuvia versioita

Tarkennettu lisää haavoittuvia versioita.