Apple-laitteissa taas kriittisiä haavoittuvuuksia

Kyberturvallisuuskeskuksen mukaan Apple on korjannut aikaistetun päivitysaikataulun mukaisesti kaksi nollapäivähaavoittuvuutta:

CVE-2023–28205, haitalliseksi muotoiltu verkkosisältö on mahdollistanut mielivaltaisen ohjelmistokoodin suorittamisen laitteella ilman käyttäjän hyväksyntää.

CVE-2023–28206 on mahdollistanut mielivaltaisen ohjelmistokoodin suorittamisen käyttöjärjestelmän ytimen (kernel) oikeuksilla.

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Haavoittuvat ohjelmistot

Vanhemmat kuin iOS 16.4.1 (iPhone 8 ja uudemmat)
Vanhemmat kuin iOS 15.7.5 (iPhone 6s ja 7, 1. sukupolven iPhone SE, 7. sukupolven iPod Touch)
Vanhemmat kuin iPadOS 15.7.5 (iPad Air 2, 4. sukupolven iPad mini)
Vanhemmat kuin iPadOS 16.4.1 (iPad Pro (kaikki mallit), iPad Air 3. sukupolvi tai vanhempi, iPad 5. sukupolvi tai vanhempi, iPad mini 5. sukupolvi tai vanhempi)
Vanhemmat kuin macOS Monterey 12.6.5
Vanhemmat kuin macOS Big Sur 11.7.6
Vanhemmat kuin macOS Ventura 13.3.1
Vanhemmat kuin Safari 16.4.1

Haavoittuvuudet korjaantuvat asentamalla Applen julkaisemat korjaavat päivitykset. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla.

Lähde: Kyberturvallisuuskeskus