Useita kriittisiä haavoittuvuuksia Applen tuotteissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Useita kriittisiä haavoittuvuuksia Applen tuotteissa

25. heinäkuuta 2023 klo 12.10

Useissa Applen tuotteissa sekä Safari verkkoselaimessa on korjattu kriittisiä haavoittuvuuksia. Haavoittuvuudet korjaavat päivitykset on suositeltavaa asentaa välittömästi, sillä haavoittuvuuksien hyväksikäyttöä on jo havaittu maailmalla.

Apple on julkaissut korjauspäivityksiä monien laitteiden käyttöjärjestelmiin sekä Safari verkkoselaimelle. Julkaistut päivitykset korjaavat useita haavoittuvuuksia, joista yksi on 0-päivähaavoittuvuus (eng. zero day). Applen mukaan tätä haavoittuvuutta on jo mahdollisesti hyväksikäytetty.
   
Korjattu 0-päivähaavoittuvuus CVE-2023-38606 on mahdollistanut sovelluksien muuttaa käyttöjärjestelmän ytimen (eng. kernel) tilaa, joka voi johtaa laitteen haltuunottoon hyökkääjän toimesta.

Haavoittuvuudet koskevat niin organisaatioita, kuin tavallisia kotikäyttäjiäkin. Korjaavia päivityksiä on julkaistu muun muassa Applen tietokoneisiin, puhelimiin, älykelloihin ja Apple TV -laitteisiin. Tarkemman listauksen päivitettävistä käyttöjärjestelmistä näet alta. Kyberturvallisuuskeskus suosittelee asentamaan päivitykset viipymättä.

Haavoittuvuuden kohde

  • Vanhemmat kuin Safari 16.6 (macOS Big Sur ja macOS Monterey)
  • Vanhemmat kuin iOS 16.6 (iPhone 8 ja uudemmat)
  • Vanhemmat kuin iPadOS 16.6 (iPad Pro, iPad Air 3. sukupolvi tai vanhempi, iPad 5. sukupolvi tai vanhempi, iPad mini 5. sukupolvi tai vanhempi)
  • Vanhemmat kuin iOS 15.7.8 (iPhone 6 ja 7, iPhone SE 1. sukupolvi, iPod Touch 7. sukupolvi)
  • Vanhemmat kuin iPadOS 15.7.8 (iPad Air 2, iPad mini 4. sukupolvi)
  • Vanhemmat kuin macOS Ventura 13.5
  • Vanhemmat kuin macOS Monterey 12.6.8
  • Vanhemmat kuin Big Sur 11.7.9
  • Vanhemmat kuin tvOS 16.6
  • Vanhemmat kuin watchOS 9.6

Mistä on kysymys?

Voit tarkistaa oman Apple-laitteesi asetuksista päivitysten tilanteen seuraavasti: Asetukset -> Yleiset -> Ohjelmistopäivitys

Haavoittuvuudet ovat korjattu seuraavilla päivityksillä:

  • Safari 16.6
  • iOS 16.6 and iPadOS 16.6
  • iOS 15.7.8 and iPadOS 15.7.8
  • macOS Ventura 13.5
  • macOS Monterey 12.6.8
  • macOS Big Sur 11.7.9
  • tvOS 16.6
  • watchOS 9.6

Mitä voin tehdä?

Lisätietoja laitteita koskevista haavoittuvuuksista Applen sivuilta:

  • https://support.apple.com/en-us/HT213847
  • https://support.apple.com/en-us/HT213841
  • https://support.apple.com/en-us/HT213842
  • https://support.apple.com/en-us/HT213843
  • https://support.apple.com/en-us/HT213844
  • https://support.apple.com/en-us/HT213845
  • https://support.apple.com/en-us/HT213846
  • https://support.apple.com/en-us/HT213848

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Matkaviestinjärjestelmät

Matkaviestinjärjestelmiin luokitellaan kannettavien päätelaitteiden, kuten puhelinten ja dataliikennekorttien lisäksi matkapuhelinverkon laitteet.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.