Varovanie pred kritickými zraniteľnosťami v Apple produktoch

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickými bezpečnostnými zraniteľnosťami v produktoch od spoločnosti Apple, ktoré by mohli byť zneužité útočníkmi na vzdialené vykonanie kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti zasiahnutých systémov.

Tieto zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi.

Bezpečnostná zraniteľnosť s označením CVE-2023-28205 sa nachádza v komponente WebKit a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom podvrhnutia špeciálne vytvoreného webového obsahu vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Bezpečnostná zraniteľnosť s označením CVE-2023-28206 sa nachdáza v komponente IOSurfaceAccelerator a umožňuje útočníkovi prostredníctvom podvrhnutia špeciálne vytvorenej aplikácie vykonať škodlivý kód s oprávneniami administrátora a spôsobiť tak úplné narušenie dôvernosti, integrity a dostupnosti systému.

Nižšie uvádzame zoznam produktov a ich verzie, ktoré sú týmito zraniteľnosťami zasiahnuté:

  • iOS verzie staršie ako 16.4.1
  • iPadOS verzie staršie ako 16.4.1
  • Safari verzie staršie ako 16.4.1
  • macOS Ventura verzie staršie ako 13.3.1

 

Národné centrum kybernetickej bezpečnosti SK-CERT v súvislosti s týmito zraniteľnosťami odporúča všetkým používateľom, ktorí používajú predmetné Apple produkty v zraniteľných verziách:

  • bezodkladne aktualizovať všetky zasiahnuté systémy,
  • neotvárať neoverené e-mailové správy, prílohy z neznámych zdrojov, nenavštevovať nedôveryhodné webové stránky a neinštalovať neoverené aplikácie,
  • v prípade zistenia kybernetického bezpečnostného incidentu tento nahlásiť Národnému centru kybernetickej bezpečnosti SK-CERT na [email protected].

Zdroje

https://support.apple.com/en-gb/HT213720

https://support.apple.com/en-us/HT213722

https://support.apple.com/en-us/HT213721

https://www.tenable.com/plugins/nessus/174022

https://www.bleepingcomputer.com/news/apple/apple-fixes-two-zero-days-exploited-to-hack-iphones-and-macs/

https://securityonline.info/apple-users-face-two-actively-exploited-0-day-cve-2023-28205-cve-2023-28206-flaws/

https://nakedsecurity.sophos.com/2023/04/08/apple-issues-emergency-patches-for-spyware-style-0-day-exploits-update-now/

https://thehackernews.com/2023/04/apple-releases-updates-to-address-zero.html


« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy