Apple ја поправи двете големи безбедносни ранливости со iOS 16.3 и macOS 13.2 за поддржани модели на iPhone, iPad и Mac, според детали кои ги делеле безбедносното истражувачко друштво. Овие ажурирања беа испратени до корисниците минатиот месец, и доаѓаат со важни поправки и безбедносни заштитни плочки. Apple им даде заслуга на истражувачите за откривање на овие недостатоци, кои им дозволиле на далечен корисник да ги прескокне заштитите поставени од страна на Apple и да пристапи до личните податоци на корисникот, како и до неговата камера, микрофон и историја на повици.
Безбедносното истражувачко друштво Trellix го објаснува во блог постот дека Apple го внесе заштитниот механизам за блокирање на безбедносниот искористување ForcedEntry користен од страна на NSO Group, создавачот на несреќниот Pegasus malware во 2021 година. Меѓутоа, фирмата откри дека овие заштитни мерки може да бидат прескокнати од далечен корисник и докладнале грешки до Apple.
Apple се кажува дека искористи протокол наречен NSPredicateVisitor за поткрепување на безбедноста на неговиот алат NSPredicate кој е користен од страна на развивачите за филтрирање на кодот. Искористувањата на искористувања како ForcedEntry би можеле да го прескокнат овој механизам за да пристапат до уредот на корисникот.
Напаѓачот можел да го искористи безбедносниот проблем за да го прескокне песочникот кој ги спречува апликациите да пристапат до податоците на други апликации на уредот, како и до осетливи или лични информации. Ова може да вклучува пораки, дневници на повици, фотографии, податоци за локација, како и хардвер на смартфонот како што е камерата и микрофонот.
Сепак, нема да има докази дека овие грешки се искористени од злонамерни актери. Покрај тоа, корисниците кои ги ажурирале уредите си на најновата верзија на iOS и macOS треба да бидат заштитени од овие безбедносни недостатоци, според Trellix.
Apple исто така ги ажурирал своите белешки за издание за iOS 16.3 и macOS 13.2 и двете документи заслужуваат заслуга на главниот безбедносен истражувач на Trellix Austin Emmitt за откривање на две безбедносни недостатоци – CVE-2023-23530 и CVE-2023-23531 на мобилните и десктоп оперативни системи. Покрај тоа, Trellix им благодари на Apple за работата брзо со фирмата за решавање на овие две безбедносни недостатоци.
За детали за најновите лансирања и вести од Samsung, Xiaomi, Realme, OnePlus, Oppo и други компании на Mobile World Congress во Барселона, посетете нашата хаб MWC 2023.
