SK-CERT Bezpečnostné varovanie V20230126-01

26. januára 2023

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.8

Identifikátor

Apple produkty – kritické bezpečnostné zraniteľnosti

Popis

Spoločnosť Apple vydala bezpečnostnú aktualizáciu na svoje portfólio produktov, ktoré opravujú viacero kritických bezpečnostných zraniteľností.
Najzávažnejšie bezpečnostné zraniteľnosti spočívajú v nedostatočnej implementácii bezpečnostných mechanizmov a umožňujú vzdialenému, neautentifikovanému útočníkovi prostredníctvom podvrhnutie špeciálne vytvoreného webového obsahu vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi.

Dátum prvého zverejnenia varovania

26.01.2023

CVE

CVE-2022-32221, CVE-2022-32915, CVE-2022-35252, CVE-2022-35260, CVE-2022-3705, CVE-2022-42856, CVE-2022-42915, CVE-2022-42916, CVE-2023-23493, CVE-2023-23496, CVE-2023-23497, CVE-2023-23498, CVE-2023-23499, CVE-2023-23500, CVE-2023-23501, CVE-2023-23502, CVE-2023-23503, CVE-2023-23504, CVE-2023-23505, CVE-2023-23506, CVE-2023-23507, CVE-2023-23508, CVE-2023-23510, CVE-2023-23511, CVE-2023-23512, CVE-2023-23513, CVE-2023-23517, CVE-2023-23518, CVE-2023-23519

IOC

–

Zasiahnuté systémy

Apple iOS vo verzii staršej ako 12.5.7
Apple iOS vo verzii staršej ako 15.7.3
Apple iOS vo verzii staršej ako 16.3
Apple iPadOS vo verzii staršej ako 15.7.3
Apple iPadOS vo verzii staršej ako 16.3
Apple macOS Big Sur vo verzii staršej ako 11.7.3
Apple macOS Monterey vo verzii staršej ako 12.6.3
Apple macOS Ventura vo verzii staršej ako 13.2
Apple Safari vo verzii staršej ako 16.3
Apple tvOS vo verzii staršej ako 16.3
Apple watchOS vo verzii staršej ako 9.3

Následky

Eskalácia privilégií
Zneprístupnenie služby
Neoprávnený prístup k citlivým informáciám
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vykonanie škodlivého kódu je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Taktiež odporúčame poučiť používateľov, aby neotvárali neoverené e-mailové správy, prílohy z neznámych zdrojov a nenavštevovali nedôveryhodné webové stránky.

Zdroje

https://support.apple.com/en-gb/HT213601
https://support.apple.com/en-gb/HT213600
https://support.apple.com/en-gb/HT213597
https://support.apple.com/en-gb/HT213604
https://support.apple.com/en-gb/HT213603
https://support.apple.com/en-gb/HT213599
https://support.apple.com/en-gb/HT213598
https://support.apple.com/en-gb/HT213606
https://support.apple.com/en-gb/HT213605
https://www.hkcert.org/security-bulletin/apple-products-multiple-vulnerabilities_20230126

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20230126-01

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02