Useita haavoittuvuuksia Applen tuotteissa

Useissa Applen tuotteissa sekä Safari verkkoselaimessa on korjattu kriittisiä haavoittuvuuksia. Haavoittuvuudet korjaavat päivitykset on suositeltavaa asentaa välittömästi, sillä haavoittuvuuksien hyväksikäyttöä on jo havaittu maailmalla.

Käyttöjärjestelmän ytimeen (eng. kernel) vaikuttava haavoittuvuus, CVE-2023-41992, mahdollistaa käyttöoikeuksien korottamisen paikalliselle hyökkääjälle.

CVE-2023-41991 avulla haitallinen sovellus voi kiertää allekirjoituksen varmistuksen.

WebKit-selainmoottoriin vaikuttava haavoittuvuus, CVE-2023-41993, voi mahdollistaa mielivaltaisen koodin ajamisen verkkosivun sisältöä käsiteltäessä.

Applen mukaan haavoittuvuutta on mahdollisesti käytetty hyväksi iOS versiota 16.7 edeltäneitä versiota vastaan. Kaikki haavoittuvuudet eivät koske kaikkia tuotteita.
Haavoittuvuuksiin on julkaisu korjaava päivitys, ja ne on syytä asentaa laitteille heti.
Apple kertoo lisäävänsä tiedotteeseen CVE-tunnisteita lähiaikoina.

Haavoittuvuuden kohde

Vanhemmat kuin Safari 16.6.1
Vanhemmat kuin iOS 17.0.1
Vanhemmat kuin iOS 16.7
Vanhemmat kuin iPadOS 17.0.1
Vanhemmat kuin iPadOS 16.7
Vanhemmat kuin watchOS 10.0.1
Vanhemmat kuin watchOS 9.6.3
Vanhemmat kuin macOS Ventura 13.6
Vanhemmat kuin macOS Monterey 12.7

Mistä on kysymys?

Voit tarkistaa oman Apple-laitteesi asetuksista päivitysten tilanteen seuraavasti: Asetukset -> Yleiset -> Ohjelmistopäivitys

Haavoittuvuudet ovat korjattu seuraavilla päivityksillä:

iOS 16.7
iPadOS 16.7
iOS 17.0.1
iPadOS 17.0.1
Safari 16.6.1
watchOS 10.0.1
watchOS 9.6.3
macOS Ventura 13.6
macOS Monterey 12.7

Mitä voin tehdä?

Lisätietoja laitteita koskevista haavoittuvuuksista Applen sivuilta:

https://support.apple.com/en-us/HT213926
https://support.apple.com/en-us/HT213930
https://support.apple.com/en-us/HT213928
https://support.apple.com/en-us/HT213929
https://support.apple.com/en-us/HT213931
https://support.apple.com/en-us/HT213932

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Matkaviestinjärjestelmät

Matkaviestinjärjestelmiin luokitellaan kannettavien päätelaitteiden, kuten puhelinten ja dataliikennekorttien lisäksi matkapuhelinverkon laitteet.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.