זה שוב הזמן הזה - ההתמודדות המטורפת לעדכן את מכשירי אפל שלך כדי לתקן שני ניצול של יום אפס תחת התקפה אקטיבית. ניצול של יום אפס נחשף כעת במערכות ההפעלה של אפל מספר פעמים בשנה - אנחנו בשבעה לשנת 2022 - ולמרות שאפל התקנים בדרך כלל נשארים מאובטחים יותר מ-Windows, iOS ו-macOS אינם המעוזים המוחלטים של אטימות שהם היו פעם.
אפל תיקוני ניצול אפס יום המשפיע על ליבה ו-WebKit
ב-17 באוגוסט 2022, אפל פרסמה שתי התראות אבטחה: אחת עבור iOS ו- iPadOS ואחד עבור macOS. שתי ההתראות נוגעות ל-Apple Webkit, מנוע הדפדפן בקוד פתוח המניע את Safari וערימות של אפליקציות אחרות, וה- קרנל, שהוא למעשה הליבה של מערכת ההפעלה ומשמש כגשר בין החומרה שלך לבין תוֹכנָה. יתר על כן, למרות שאפל פרסמה שתי אזהרות אבטחה, הפגיעויות זהות בכל מערכת הפעלה של אפל.
הפגיעות הראשונה, במעקב כמו CVE-2022-32894 (מידע ה-CVE לא פורסם במלואו בזמן כתיבת שורות אלו, אך הוא יתעדכן), עלול לאפשר לתוקף לבצע קוד זדוני עם הרשאות ליבה. המשמעות היא שהקוד הזדוני יפעל עם רמת הגישה הגבוהה ביותר במערכת, כלומר הוא יכול לבצע כל פקודה ולגשת לכל הנתונים.
הפגיעות השנייה, במעקב כמו
CVE-2022-32893 (שוב, מידע ה-CVE יתעדכן מאוחר יותר), משפיע על Apple WebKit ועלול לאפשר לתוקף לבצע קוד זדוני בדפדפן האינטרנט ובאפליקציות אחרות המשתמשות ב-WebKit.בעוד שאפל זיהתה ניצול מסוים של הפגיעויות הללו, היא לא חשפו כמה מכשירים נפרצו. עם זאת, הוא סיפק רשימה של מכשירים שהושפעו מהחולשות:
- אייפון 6S ואילך
- iPad Pro (כל הדגמים), iPad Air 2 ואילך, iPad דור 5 ואילך, iPad mini 4 ואילך, ו-iPod touch (דור 7)
- מחשבי Mac עם macOS Monterey
כפי שניתן לצפות, אנו ממליצים לך בחום תקן את מכשירי אפל שלך בְּהֶקְדֵם הַאֶפְשַׁרִי.
מהו ניצול אפס יום?
ניצול של יום אפס היא פגיעות אבטחה שטרם פורסמה בה תוקף משתמש כדי לפרוץ אתר, שירות או אחר. מכיוון שחברות האבטחה והטכנולוגיה אינן מודעות לקיומו, הוא נותר ללא תיקון ופגיע.
בדוגמה הספציפית הזו, חוקר אבטחה פנה לאפל לאחר שגילה את הניצול יעץ להם לתקן מיד, אחרת תוקף יכול לנצל אותם ולהריץ קוד זדוני על מטרה התקן.
קשה להגן מפני פגיעות של יום אפס מעצם טבען. חוקרי אבטחה הם לרוב האנשים הראשונים שגילו פגיעות של יום אפס ובדרך כלל לחשוף את הממצאים לחברה המעורבת כדי לוודא שזה יתוקן לפני הפגיעות חָשׂוּף. עם זאת, זה לא תמיד המקרה.
כיצד לתקן macOS, iOS ו- iPadOS
אם אתה הבעלים של אחד מהמכשירים המפורטים בסעיף לעיל, עליך לעדכן בהקדם האפשרי. אפל כבר פרסמה את עדכון האבטחה המתקן את פרצות הליבה וה-WebKit, ולא לוקח זמן להתקין אותן.
ב-iOS וב-iPadOS:
- פנה אל הגדרות > כללי > עדכון תוכנה
- בֶּרֶז הורד והתקן
ב-macOS:
- פנה אל ה תפריט תפוח
- נְקִישָׁה עדכון תוכנה
- נְקִישָׁה עדכן כעת
צא ותקן את מכשירי Apple שלך
עדיף תמיד לשמור על המכשירים שלך מעודכנים, בין אם אתה משתמש ב-Apple, Windows, Linux או כל דבר אחר. למרות שקשה להגן מפני פגיעויות של יום אפס, הן משמשות לעתים קרובות בהתקפות ממוקדות על מכשירים ספציפיים. עכשיו, זה לא אומר שאתה צריך להיות שאנן ולחשוב שהמכשיר שלך יהיה המיוחד, אבל תיקון ברגע שעדכון אבטחה זמין הוא תמיד האפשרות הטובה ביותר.
