Apple-laitteet alttiina vakaville hyökkäyksille – Kyberturvallisuuskeskus: ”päivitykset on syytä asentaa viipymättä”

Applen eilen julkaisemat käyttöjärjestelmäpäivitykset kannattaa asentaa heti, kun mahdollista. Molempia korjattuja haavoittuvuuksia on jo käytetty hyökkäyksissä.

”Molempia haavoittuvuuksia on Applen mukaan jo käytetty hyväksi maailmalla, joten päivitykset on syytä asentaa viipymättä”, on myös Suomen liikenne- ja viestintäviraston Kyberturvallisuuskeskus todennut.

Apple julkaisi eilen iOS ja iPadOS 14.8:n iPhoneille, iPod toucheille ja iPadeille, watchOS 7.6.2:n Apple Watcheille ja macOS Big Sur 11.6:n Maceille.

iOS ja iPadOS 14.8:n sekä macOS 11.6:n Apple kertoo korjaavan kaksi haavoittuvuutta.

Haavoittuvuuksista ensimmäinen liittyy CoreGraphics-toiminnallisuuteen, jonka haavoittuvuuden vuoksi haitallisesti muotoillun PDF-tiedoston käsittely voi johtaa hyökkäyskoodin ajamiseen. Applen mukaan ylivuototilanne on korjattu parannetulla tietojen validoinnilla. Toinen korjattu haavoittuvuus on WebKit-selainmoottorissa, ja se on saattanut johtaa hyökkäyskoodin ajamiseen käsiteltäessä verkkosisältöä. Tämä haavoittuvuus on korjattu parannetulla muistinhallinnalla.

Lisäksi watchOS 7.6.2:ssa haavoittuvuuksista on korjattu ensin mainittu samoin kuin myös erillisessä samalla myös julkaistussa tietoturvapäivityksessä macOS:n aiemmalle Catalina-versiolle.

PDF-tiedostoihin liittyvän haavoittuvuuden Applelle raportoi Citizen Lab. Haavoittuvuuden ansiosta israelilaisen NSO Groupin Pegasus-järjestelmällä on voinut saada pääsyn Apple-laitteeseen ja sen tietoihin. Citizen Labin mukaan haavoittuvuutta on hyödynnetty ainakin saudiarabialaisen aktivistin laitteeseen tunkeutumiseksi. Käyttäjän ei tarvinnut avata haitallista PDF-tiedostoa haavoittuvuudelle altistumiseksi, vaan ainoastaan tietyllä tavalla muotoillun PDF-tiedoston saapuminen laitteeseen Viestit-sovelluksen kautta ohitti kaikki suojaukset ja avasi laitteen salat hyökkääjille.

”Sen jälkeen, kun tämän hyökkäyksen käyttämä haavoittuvuus iMessagessa oli todettu, Apple kehitti ja julkaisi nopeasti korjauksen iOS 14.8:ssa käyttäjien suojaamiseksi”, kommentoi Applen turvallisuussuunnittelun ja -arkkitehtuurin johtaja Ivan Krstić muun muassa Bloombergille. ”Haluamme kiittää Citizen Labia onnistuneesta suoritetusta haastavasta työstä esimerkiksi saamiseksi hyväksikäytöstä, jotta onnistuimme kehittämään korjauksen nopeasti.”

Applen mukaan tällaiset hyökkäykset ovat hienostuneita, niiden kehittäminen maksaa miljoonia ja ne on useimmiten kohdistettu vain tiettyihin henkilöihin. ”Vaikka tämä tarkoittaa, etteivät ne ole uhka valtaosalle käyttäjistä, jatkamme väsymättä työtä kaikkien asiakkaidemme puolustamiseksi, ja lisäämme jatkuvasti uusia suojauksia heidän sekä laitteisiin että tiedoilleen”, kommentoi Applen Ivan Krstić.

Näin päivität Apple-laitteesi

iPhone, iPod touch ja iPad:

• Asetukset – Yleiset – Ohjelmistopäivitys

Apple Watch:

• iPhonella: Apple Watch – Yleiset – Ohjelmistopäivitys
• Suoraan Apple Watchilla: Asetukset – Ohjelmistopäivitys

Mac:

• Järjestelmäasetukset – Ohjelmiston päivitys

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla