Haavoittuvuus35/2020
Uusia ja kriittisiä päivityksiä Applen iOS-laitteissa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla
Apple korjasi kuluvalla viikolla aikaistetun päivitysaikataulun mukaisesti kolme 0-päivähaavoittuvuutta (eng. zero day).
CVE-2020-27930 on mielivaltaisen ohjelmistokoodin suorittaminen laitteella ilman käyttäjän hyväksyntää
CVE-2020-27950 on käyttöjärjestelmän ytimen muistin vuotaminen.
CVE-2020-27932 on käyttövaltuuksien laajentaminen, joka mahdollistaa mielivaltaisten komentojen ajamisen laajennetuilla oikeuksilla.
Haavoittuvuudet ovat korjattu iOS 14.2 ja iPadOS 14.2 -käyttöjärjestelmäversioissa sekä vanhemman sukupolven iPhone-puhelimiessa päivityksellä iOS 12.4.9.
Päivityksessä julkaistiin myös muita korjaavia päivityksiä Applen laitteisiin.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Matkaviestinjärjestelmät
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
- Vanhemmat kuin iOS 14.2 (iPhone 6s ja uudemmat, iPod touch 7. sukupolvi)
- Vanhemmat kuin iPadOS 14.2 (iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat)
- Vanhemmat kuin edeltävän sukupolvien iPhone-puhelimien iOS 12.4.9.
Mistä on kysymys?
- Korjaava ohjelmistopäivitys
Mitä voin tehdä?
- https://us-cert.cisa.gov/ncas/current-activity/2020/11/06/apple-releases-security-updates-multiple-products
- https://support.apple.com/en-us/HT201222
Tarkennettu haavoittuvia versioita
Tarkennettu lisää haavoittuvia versioita.