Apple julkaisi korjaavan päivityksen kriittiseen haavoittuvuuteen tuotteissaan | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Apple julkaisi korjaavan päivityksen kriittiseen haavoittuvuuteen tuotteissaan

14. helmikuuta 2023 klo 11.10

Applen korjaamat haavoittuvuudet koskevat useita Applen laitteita sekä Safari-selainta. Applen julkaisemat päivitykset on syytä asentaa laitteille heti.

Apple on julkaissut useisiin tuotteisiinsa päivityksiä. Haavoittuvuuksista yksi (CVE-2023-23529) on kriittinen. Sama kriittinen haavoittuvuus vaikuttaa Safari-selaimeen ja iOS, iPadOS, macOS -käyttöjärjestelmiin. Kriittinen haavoittuvuus koskee Webkit-selainmoottoria.

Haavoittuvuutta hyväksikäyttäen hyökkääjä voi suorittaa haitallista koodia kohdelaitteessa. Applen mukaan haavoittuvuutta on mahdollisesti hyväksikäytetty aktiivisesti.

Haavoittuvuus vaatii toimia tavallisilta kansalaisilta ja organisaatioilta. On suositeltavaa päivittää omat ja töissä käytettävät laitteet viipymättä uusimpaan ohjelmistoversioon.

Haavoittuvuuden kohde

Aiemmat versiot Applen käyttöjärjestelmistä, jotka saivat nyt päivityksen allaolevan mukaisesti.

Mistä on kysymys?

Päivitä Apple-laitteesi uusimpaan versioon:
iOS 16.3.1
iPadOS 16.3.1
macOS Ventura 13.2.1
Safari 16.3.1

Mitä voin tehdä?

Applen haavoittuvuustiedote iOS & iPadOS (ulkoinen linkki)
Applen haavoittuvuustiedote macOS (ulkoinen linkki)
Applen haavoittuvuustiedote Safari (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.