Apple lëshon përditësime urgjente të iPhone dhe iPad për të përmirësuar cenueshmërinë e re
Apple të hënën lëshoi një azhurnim të sigurisë për iOS dhe iPad për të adresuar një dobësi kritike që thotë se po shfrytëzohet në natyrë, duke e bërë atë të metën e 17-të të ditëve zero që kompania ka adresuar në produktet e saj që nga fillimi i vitit. ‘
Dobësia, e caktuar identifikuesi CVE-2021-30883, ka të bëjë me një çështje të korrupsionit të kujtesës në komponentin “IOMobileFrameBuffer” që mund të lejojë një aplikacion të ekzekutojë kod arbitrar me privilegje të kernelit. Duke kredituar një studiues anonim për raportimin e dobësisë, Apple tha se ishte “në dijeni të një raporti që kjo çështje mund të jetë shfrytëzuar në mënyrë aktive”.
Specifikat teknike në lidhje me të metën dhe natyrën e sulmeve mbeten ende të padisponueshme, siç është identiteti i aktorit të kërcënimit, në mënyrë që të lejojë shumicën e përdoruesve të aplikojnë arnimin dhe të parandalojnë kundërshtarët e tjerë të armatosin dobësinë. Prodhuesi i iPhone tha se e trajtoi çështjen me përmirësimin e trajtimit të kujtesës.
Studiuesi i sigurisë Saar Amar ndau detaje shtesë dhe një shfrytëzim të provës së konceptit (PoC), duke vënë në dukje se “kjo sipërfaqe sulmi është shumë interesante sepse është e arritshme nga sandbox-i i aplikacionit (kështu që është i shkëlqyeshëm për jailbreaks) dhe shumë procese të tjera, duke e bërë atë një kandidat i mirë për LPE shfrytëzon në zinxhirë “.
CVE-2021-30883 është gjithashtu dita e dytë zero që ndikon në IOMobileFrameBuffer pasi Apple trajtoi një çështje të ngjashme, të raportuar në mënyrë anonime të korrupsionit të kujtesës (CVE-2021-30807) në korrik 2021, duke ngritur mundësinë që të dy të metat të mund të lidhen. Me rregullimin e fundit, kompania ka zgjidhur një rekord 17 ditë zero deri më tani vetëm në vitin 2021