Apple julkaisi korjaavia kriittisiä päivityksiä iOS-laitteiden 0-päivähaavoihin

Uusia ja kriittisiä päivityksiä Applen iOS-laitteissa. Päivitykset tulee asentaa välittömästi, sillä hyväksikäyttöä on havaittu maailmalla

Apple korjasi kuluvalla viikolla aikaistetun päivitysaikataulun mukaisesti kolme 0-päivähaavoittuvuutta (eng. zero day).

CVE-2020-27930 on mielivaltaisen ohjelmistokoodin suorittaminen laitteella ilman käyttäjän hyväksyntää

CVE-2020-27950 on käyttöjärjestelmän ytimen muistin vuotaminen.

CVE-2020-27932 on käyttövaltuuksien laajentaminen, joka mahdollistaa mielivaltaisten komentojen ajamisen laajennetuilla oikeuksilla.

Haavoittuvuudet ovat korjattu iOS 14.2 ja iPadOS 14.2 -käyttöjärjestelmäversioissa sekä vanhemman sukupolven iPhone-puhelimiessa päivityksellä iOS 12.4.9.

Päivityksessä julkaistiin myös muita korjaavia päivityksiä Applen laitteisiin.

Haavoittuvuuden kohde

Vanhemmat kuin iOS 14.2 (iPhone 6s ja uudemmat, iPod touch 7. sukupolvi)
Vanhemmat kuin iPadOS 14.2 (iPad Air 2 ja uudemmat sekä iPad mini 4 ja uudemmat)
Vanhemmat kuin edeltävän sukupolvien iPhone-puhelimien iOS 12.4.9.

Mistä on kysymys?

Korjaava ohjelmistopäivitys

Mitä voin tehdä?

https://us-cert.cisa.gov/ncas/current-activity/2020/11/06/apple-releases-security-updates-multiple-products
https://support.apple.com/en-us/HT201222

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Matkaviestinjärjestelmät

Matkaviestinjärjestelmiin luokitellaan kannettavien päätelaitteiden, kuten puhelinten ja dataliikennekorttien lisäksi matkapuhelinverkon laitteet.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.