CVE-2024-1580 kodas leidžia nuotoliniams puolėjams vykdyti savavališką kodą paveiktuose įrenginiuose.
Apple pagaliau pateikė daugiau informacijos apie praeitą savaitę tyliai išleistus atnaujinimus iOS ir iPadOS 17.4.1 versijoms.
Paaiškėjo, kad šie atnaujinimai skirti naujai pažeidžiamybei atitinkamose operacinėse sistemose, kuri leidžia nuotoliniams puolėjams vykdyti savavališką kodą paveiktuose iPhone ir iPad įrenginiuose.
Apple iOS ir iPadOS produktai, paveikti pažeidžiamos bibliotekos, apima iPhone XS ir vėlesnius modelius, iPad Pro 12.9 colių antrosios kartos ir vėlesnius, iPad Pro 11 colių pirmosios kartos ir vėlesnius, iPad Air trečiosios kartos ir vėlesnius bei iPad mini penktosios kartos ir vėlesnius modelius. Šių įrenginių naudotojai gali sumažinti riziką, susijusią su CVE-2024-1580 pažeidžiamumu, įdiegdami naujus iOS ir iPadOS atnaujinimus.
Apple užribio rašymo problema
CVE-2024-1580 kyla iš užribio rašymo problemos dav1d AV1 atvirojo kodo bibliotekoje, skirtai AV1 vaizdo dekodavimui įvairiuose įrenginiuose ir platformose. Dvi Apple iOS ir iPadOS komponentai, paveikti pažeidžiamumo, yra Core Media karkasas multimedijos duomenų apdorojimui įvairiose Apple platformose ir įmonės WebRTC įgyvendinimas tiesioginio garso bei vaizdo srautų palaikymui mobiliuosiuose programose.
Be iOS ir iPadOS atnaujinimų, Apple šią savaitę taip pat išleido atnaujinimus, skirtus CVE-2024-1580 pažeidžiamumui šalinti kituose produktuose, įskaitant Safari naršyklę, macOS Sonoma ir Ventura bei visionOS programinę įrangą įmonės naujajai Vision Pro ausinei. Apple atnaujinimai pasirodė praėjus kelioms savaitėms po iOS 17.4 išleidimo.
Apple padėkojo Google „Project Zero“ klaidų ieškojimo komandos tyrėjui už pažeidžiamumo radimą ir pranešimą įmonei.
Galimai pavojinga klaida?
Saugumo tyrėjas Paul Ducklin pastebėjo Apple nedelsimą paskelbti detalų apie klaidą kaip ženklą, kad įmonė vertino šią klaidą kaip pavojingą.
„Spėliojame, kad dėl Apple tyčios tylėjimo, kai pirmieji pataisymai buvo išleisti praeitą savaitę, CVE-2024-1580 klaida buvo laikoma pavojinga dokumentuoti prieš išleidžiant pataisas kitoms platformoms, ypač macOS,“ – rašė jis tinklaraščio įraše.