Apple đã phát hành các bản cập nhật cho iOS và iPadOS, macOS, watchOS và Safari để khắc phục ba lỗ hổng zero-day (CVE-2023-41992, CVE-2023-41991, CVE-2023-41993) bị khai thác “trên các phiên bản iOS trước iOS 16.7”.
Bill Marczak của Citizen Lab tại Trường Đại học Munk của Đại học Toronto và Maddie Stone của Nhóm Phân tích Mối đe dọa của Google đã được ghi nhận đã báo cáo chúng, vì vậy các lỗ hổng này có thể đã được sử dụng để triển khai phần mềm gián điệp.
Các lỗ hổng zero-day đã được vá (CVE-2023-41992, CVE-2023-41991, CVE-2023-41993)
CVE-2023-41992, trong Framework Kernel, cho phép kẻ tấn công cục bộ nâng cao quyền.
CVE-2023-41991, trong Framework Bảo mật, có thể bị khai thác bởi ứng dụng độc hại để bypass xác nhận chữ ký.
CVE-2023-41993, trong trình duyệt WebKit browser engine, có thể được kích hoạt bằng cách xử lý nội dung web được tạo riêng và có thể dẫn đến thực thi mã tự do.
Các phiên bản iOS/iPad đã phát hành 17.0.1 và 16.7 đã vá lỗi cho tất cả ba; cập nhật Safari chỉ cho lỗ hổng WebKit; watchOS 10.0.1, 9.6.3 và macOS Ventura 13.6 có vá cho lỗ hổng Kernel và Bảo mật; và macOS Monterey 12.7 chỉ cho lỗ hổng Kernel (mặc dù cho cả hai phiên bản macOS, các mục CVE bổ sung đang sớm được công bố).
Các zero-day gần đây được xác định bởi Citizen Lab
Trong tháng này, Apple đã đóng hai lỗ hổng zero-day (CVE-2023-41064, CVE-2023-41061) đã được kết hợp với nhau bởi kẻ tấn công để triển khai phần mềm gián điệp Pegasus của NSO Group. Cả hai lỗ hổng này đã được báo cáo bởi Citizen Lab.
Một vài ngày sau đó, Google đã phát hành một bản cập nhật bảo mật cho lỗ hổng zero-day của Chrome (CVE-2023-4863) đã bị khai thác trên thực tế. Lỗ hổng này nằm trong thư viện hình ảnh WebP và đã được báo cáo bởi Apple Security Engineering và Architecture (SEAR) và Citizen Lab (Mozilla cũng vá lỗi này trên Firefox, Firefox ESR và Thunderbird cùng ngày).
Ben Hawkes, trước đây là thành viên của Google Project Zero và hiện là Isosceles (một công ty tư vấn bảo mật mà ông đã thành lập), cho biết CVE-2023-4863 và CVE-2023-41064 có thể là cùng một lỗ hổng.
CVE-2023-41064 là một lỗ hổng tràn bộ đệm trong Framework ImageI/O, và có thể được kích hoạt bằng một hình ảnh được tạo một cách độc hại.
“Nhưng chúng tôi biết rằng ImageIO gần đây đã bắt đầu hỗ trợ các tệp WebP, và chúng ta biết rằng vào ngày 6 tháng 9 (một ngày trước khi bản tin an ninh iOS/macOS được phát hành), nhóm an ninh của Apple đã báo cáo một lỗ hổng WebP cho Chrome và sau đó được vá khẩn cấp (chỉ sau 5 ngày kể từ khi báo cáo ban đầu) và được Google đánh dấu là ‘bị khai thác trong tự nhiên’. Dựa trên điều này, có vẻ khá có thể rằng (CVE-2023-41064) và CVE-2023-4863 là cùng một lỗi,” ông nhận xét.
Ông cũng nói rằng CVE-2023-4863 đã được vá một cách đúng đắn trong thư viện libwebp, nhưng có thể sẽ mất một thời gian để triển khai nó trên tất cả các phần mềm sử dụng nó.
Cải thiện Chế độ khóa ở iOS 17
Apple đã phát hành iOS 17 trong tuần này, và cùng với đó là một số cập nhật cho Chế độ khóa, cung cấp bảo vệ đặc biệt cho người dùng đang đối mặt nguy cơ bị tấn công mạng nhắm vào mục tiêu cao cấp (ví dụ như phần mềm gián điệp do nhà nước tài trợ như Pegasus).
Chế độ khóa giờ đây cũng hoạt động trên Apple Watch, mặc định gỡ bỏ dữ liệu vị trí từ ảnh và ngăn các thiết bị kết nối vào các mạng Wi-Fi không an toàn và mạng di động 2G.
CẬP NHẬT: 22 tháng 9 năm 2023 – 11:08 PT
Nhóm Phân tích Mối đe dọa của Google (TAG) đã đăng một bài viết trên blog giới thiệu cách ba zero-day của Apple đã được kết hợp để triển khai phần mềm độc hại Predator của Intellexa vào các thiết bị iOS của các mục tiêu.
“Kẻ tấn công cũng có một chuỗi khai thác để cài đặt Predator trên các thiết bị Android tại Ai Cập. TAG đã quan sát các khai thác này được thực hiện theo hai cách khác nhau: tiêm nhiễm MITM và qua các liên kết một lần gửi trực tiếp cho mục tiêu. Chúng tôi chỉ có thể nhận được lỗ hổng thực thi mã từ xa ban đầu cho Chrome, được khai thác CVE-2023-4762,” các nhà nghiên cứu nói.
#.Apple #iOS #iPadOS #macOS #watchOS #Safari #zero_day #vulnerability #spyware #security #CitizenLab #Google #Pegasus #NSOGroup
Nguồn: https://www.helpnetsecurity.com/2023/09/22/cve-2023-41992-cve-2023-41991-cve-2023-41993/
Apple has released updates for iOS and iPadOS, macOS, watchOS, and Safari to fix three zero-day vulnerabilities (CVE-2023-41992, CVE-2023-41991, CVE-2023-41993) exploited “against versions of iOS before iOS 16.7.”
Bill Marczak of The Citizen Lab at The University of Toronto’s Munk School and Maddie Stone of Google’s Threat Analysis Group have been credited with reporting them, so the flaws have probably been used to deploy spyware.
The patched zero-days (CVE-2023-41992, CVE-2023-41991, CVE-2023-41993)
CVE-2023-41992, in the Kernel framework, allows a local attacker to elevate privileges.
CVE-2023-41991, in the Security framework can be exploited by a malicious app to bypass signature validation.
CVE-2023-41993, in the WebKit browser engine, could be triggered by processing specially crafted web content and can lead to arbitrary code execution.
The released iOS/iPad 17.0.1 and 16.7 versions have patches for all three; the Safari update just for the WebKit flaw; watchOS 10.0.1, 9.6.3 and macOS Ventura 13.6 have patches for the Kernel and Security vulnerability; and macOS Monterey 12.7 only for the Kernel one (though for both macOS versions, additional CVE entries are coming soon).
Recent zero-days flagged by Citizen Lab
Earlier this month, Apple closed two zero-day vulnerabilities (CVE-2023-41064, CVE-2023-41061) that have been chained together by attackers to deliver NSO Group’s Pegasus spyware. Both were reported by The Citizen Lab.
A few days later, Google pushed out a security update for a Chrome zero-day vulnerability (CVE-2023-4863) exploited in the wild. The vulnerability is in the WebP image library, and has been reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab. (Mozilla fixed the same flaw in Firefox, Firefox ESR, and Thunderbird the same day.)
Ben Hawkes, previously with Google’s Project Zero and now Isosceles (a security consulting company he founded), says that CVE-2023-4863 and CVE-2023-41064 may be the same flaw.
CVE-2023-41064 is a buffer overflow vulnerability in the ImageI/O framework, and can be triggered with a maliciously crafted image.
“But we do know that ImageIO recently began to support WebP files, and we know that on September 6 (one day before the iOS/macOS security bulletin), Apple’s security team reported a WebP vulnerability to Chrome that was urgently patched (just 5 days after the initial report) and marked by Google as ‘exploited in the wild’. Based on this, it seems likely that (CVE-2023-41064) and CVE-2023-4863 are the same bug,” he noted.
He also said that CVE-2023-4863 has been patched correctly in the libwebp library, it will take likely a while for it to be implemented in all the software that uses it.
Improved Lockdown Mode in iOS 17
Apple has released iOS 17 this week, and with it some updates to Lockdown Mode, which offers specialized protection to users at risk of highly targeted cyberattacks (e.g., state-sponsored mercenary spyware such as Pegasus).
Lockdown Mode now also works on Apple Watch, removes the geolocation data from photos by default, and prevents devices from joining insecure Wi-Fi networks and 2G cellular networks.
UPDATE: September 22, 2023 – 11:08 AM PT
Google’s Threat Analysis Group (TAG) has published a blog post outlining how the three Apple zero-days have been chained to deliver Intellexa’s Predator malware to iOS devices of targets.
“The attacker also had an exploit chain to install Predator on Android devices in Egypt. TAG observed these exploits delivered in two different ways: the MITM injection and via one-time links sent directly to the target. We were only able to obtain the initial renderer remote code execution vulnerability for Chrome, which was exploiting CVE-2023-4762,” the researchers said.
[ad_2]
