Apple korjasi haavoittuvuuksia laitteissaan - päivitä heti | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Apple korjasi haavoittuvuuksia laitteissaan - päivitä heti

25. toukokuuta 2021 klo 15.39

Korjatut haavoittuvuudet koskevat useita eri Applen laitteita. Apple julkaisi laitteille päivitykset, joten ne on syytä asentaa viipymättä.

Apple korjasi haavoittuvuuksia Safari-selaimesta, macOS, iPadOS ja iOS -käyttöjärjestelmistä, älykelloista ja Apple TV-tuotteesta.

Päivitykset korjaavat useita haavoittuvuuksia, ja osa niistä koski haavoittuvuuksia Webkit-selainmoottorissa.

Webkitissä olevan haavoittuvuuden avulla hyökkääjä voi mahdollisesti suorittaa haitallista koodia kohdelaitteessa.

Nollapäivähaavoittuvuutta TCC (Transparency, Consent and Control) -rajapinnassa (CVE-2021-30713) on jo mahdollisesti käytetty hyväksi tutkijoiden mukaan macOS Big Sur -versiossa.

Haavoittuvuuden kohde

Safari 14.1 tai vanhemmat

macOS Catalina (Security Update 2021-002), Mojave (Security Update 2021-003) ja Big Sur 11.3 tai vanhemmat

iOS, iPadOS ja tvOS 14.5 ja vanhemmat

 

 

Mistä on kysymys?

Päivitä Apple-laitteesi seuraaviin versioihin:

Safari 14.1.1

macOS Catalina Security Update 2021-003 

macOS Mojave Security Update 2021-004 

macOS Big Sur 11.4

iOS, iPadOS ja tvOS 14.6

Applen julkaisu (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Matkaviestinjärjestelmät

Matkaviestinjärjestelmiin luokitellaan kannettavien päätelaitteiden, kuten puhelinten ja dataliikennekorttien lisäksi matkapuhelinverkon laitteet.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.