Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Kriittisiä haavoittuvuuksia Applen tuotteissa - päivitä heti

Uusia ja kriittisiä päivityksiä Applen iOS, macOS Ventura, macOS Monterey, macOS Big sur ja iPadOS-laitteissa, sekä Safari verkkoselaimessa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.

Apple on korjannut menneellä viikolla aikaistetun päivitysaikataulun mukaisesti kaksi 0-päivähaavoittuvuutta (eng. zero day). 

CVE-2023-28205 haitalliseksi muotoiltu verkkosisältö on mahdollistanut mielivaltaisen ohjelmistokoodin suorittamisen laitteella ilman käyttäjän hyväksyntää.

CVE-2023-28206 on mahdollistanut mielivaltaisen ohjelmistokoodin suorittamisen käyttöjärjestelmän ytimen (eng. kernel) oikeuksilla.

 

 

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Matkaviestinjärjestelmät

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

  • Vanhemmat kuin iOS 16.4.1 (iPhone 8 ja uudemmat)
  • Vanhemmat kuin iOS 15.7.5 (iPhone 6s ja 7, 1. sukupolven iPhone SE, 7. sukupolven iPod Touch)
  • Vanhemmat kuin iPadOS 15.7.5 (iPad Air 2, 4. sukupolven iPad mini)
  • Vanhemmat kuin iPadOS 16.4.1 (iPad Pro (kaikki mallit), iPad Air 3. sukupolvi tai vanhempi, iPad 5. sukupolvi tai vanhempi, iPad mini 5. sukupolvi tai vanhempi)
  • Vanhemmat kuin macOS Monterey 12.6.5
  • Vanhemmat kuin macOS Big Sur 11.7.6
  • Vanhemmat kuin macOS Ventura 13.3.1
  • Vanhemmat kuin Safari 16.4.1

Ratkaisu- ja rajoitusmahdollisuudet

Voit tarkistaa oman Apple-laitteesi asetuksista päivitysten tilanteen seuraavasti: Asetukset -> Yleiset -> Ohjelmistopäivitys

Haavoittuvuudet ovat korjattu seuraavilla päivityksillä:

  • iOS 15.7.5
  • iOS 16.4.1 
  • iPadOS 15.7.5
  • iPadOS 16.4.1
  • Safari 16.4.1
  • macOS Monterey 12.6.5
  • macOS Big Sur 11.7.6
  • macOS Ventura 13.3.1

Lisätietoja

  • https://www.cisa.gov/news-events/alerts/2023/04/10/cisa-adds-two-known-exploited-vulnerabilities-catalog
  • https://support.apple.com/en-us/HT213720
  • https://support.apple.com/en-us/HT213721
  • https://support.apple.com/en-us/HT213722
  • https://support.apple.com/en-us/HT213723
  • https://support.apple.com/en-us/HT213724
  • https://support.apple.com/en-us/HT213725

Muotoiltu tiedotetta.

Lisätty CVE-2023-28205 CVSS Base Score 8.8, lisäksi CVE-2023-28206 CVSS Base Score 8.6