Apple korjasi iOS 14.4 päivityksellä vakavia haavoittuvuuksia | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Apple korjasi iOS 14.4 päivityksellä vakavia haavoittuvuuksia

27. tammikuuta 2021 klo 14.30

Apple julkaisi iOS 14.4 version ja samalla paikkasi kolme vakavaa haavoittuvuutta, joita on jo voitu käyttää aktiivisesti hyväksi. Suosittelemme päivittämään laitteenne käyttöjärjestelmän mahdollisimman pian uusimpaan versioon.

Applen julkaisema iOS 14.4 -versio korjasi haavoittuvuuden käyttöjärjestelmän kernelissä eli sen ytimessä. Pahaa tarkoittava sovellus voi haavoittuvuutta hyväksikäyttämällä korottaa käyttöoikeuksiaan. 

Toiset kaksi haavoittuvuutta koskevat WebKit-selainmoottoria, jota Safari-selain käyttää. Tämän haavoittuvuuden avulla hyökkääjä voi mahdollisesti suorittaa mielivaltaisesti ohjelmakoodia kohteeseen.

Haavoittuvuudet koskevat seuraavia ja niitä uudempia laitteita: iPhone 6s, iPad Air 2, iPad mini 4 ja iPod touch (7:s versio).

Haavoittuvuuden kohde

iOS 14.3 ja vanhemmat seuraavissa laitteissa:

iPhone 6s ja uudemmat mallit
iPad Air 2 ja uudemmat mallit
iPad mini 4 ja uudemmat mallit
iPod touch (7:s sukupolvi)

Mistä on kysymys?

Päivitä seuraavat laitteesi iOS 14.4 -versioon. 

iPhone 6s ja uudemmat mallit
iPad Air 2 ja uudemmat mallit
iPad mini 4 ja uudemmat mallit
iPod touch (7:s sukupolvi)

Apple: About the security content of iOS 14.4 and iPadOS 14.4 (ulkoinen linkki)

Matkaviestinjärjestelmät

Matkaviestinjärjestelmiin luokitellaan kannettavien päätelaitteiden, kuten puhelinten ja dataliikennekorttien lisäksi matkapuhelinverkon laitteet.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.