Rezumat
Apple a lansat o actualizare urgentă de firmware pentru diverse modele de AirPods și Beats pentru a aborda o vulnerabilitate critică de securitate (CVE-2024-27867) care ar putea permite accesul neautorizat și interceptarea conversațiilor. O altă actualizare semnificativă a fost făcută pentru visionOS pentru a rezolva multiple deficiențe, inclusiv o vulnerabilitate notabilă de tip denial-of-service în motorul de browser WebKit.
TL;DR
Ultima actualizare de firmware a Apple remediază o mare problemă de securitate în căștile AirPods și Beats care ar putea permite atacatorilor să obțină acces neautorizat. De asemenea, visionOS a primit actualizări pentru a aborda mai multe vulnerabilități, inclusiv o problemă semnificativă de tip denial-of-service în motorul de browser WebKit.
Actualizare Firmware AirPods
Apple a lansat o actualizare crucială de firmware pentru AirPods din cauza unei vulnerabilități care ar putea permite unui actor rău intenționat să obțină acces neautorizat la căști.
Detalii Vulnerabilitate:
- Identificator CVE: CVE-2024-27867
- Dispozitive Afectate:
- AirPods (generația a 2-a și ulterioare)
- AirPods Pro (toate modelele)
- AirPods Max
- Powerbeats Pro
- Beats Fit Pro
„Când căștile tale caută o cerere de conectare de la unul dintre dispozitivele tale asociate anterior, un atacator aflat în raza Bluetooth ar putea să falsifice sursa dispozitivului intenționat și să obțină acces la căștile tale,” a explicat Apple într-un aviz de marți. Acest lucru ar putea permite unui adversar aflat în apropiere să intercepteze conversații private.
Rezolvare: Problema a fost abordată prin îmbunătățirea gestionării stării, iar actualizările de firmware includ:
- Actualizare Firmware AirPods 6A326
- Actualizare Firmware AirPods 6F8
- Actualizare Firmware Beats 6F8
Credit: Vulnerabilitatea a fost descoperită și raportată de Jonas Dreßler.
Actualizări de Securitate VisionOS
În plus față de actualizarea firmware-ului AirPods, Apple a lansat recent actualizări pentru visionOS (versiunea 1.2) pentru a remedia 21 de vulnerabilități, dintre care șapte se aflau în motorul de browser WebKit.
Deficiență Notabilă:
- Identificator CVE: CVE-2024-27812
- Tip: Deficiență logică conducând la denial-of-service (DoS)
- Rezolvare: Îmbunătățirea gestionării fișierelor
Cercetătorul de securitate Ryan Pickren a raportat această vulnerabilitate, descriind-o drept „primul hack de calcul spațial din lume.” Această deficiență ar putea fi exploatată pentru a umple forțat camera unui utilizator cu un număr arbitrar de obiecte 3D animate fără interacțiunea utilizatorului.
Înțelegere Tehnică: Vulnerabilitatea exploatează eșecul Apple de a aplica modelul de permisiuni atunci când se utilizează funcția ARKit Quick Look pentru a genera obiecte 3D într-o cameră a victimei. Clicurile programatice JavaScript pot fi folosite pentru a lansa multiple obiecte animate, care creează sunet, și care persistă chiar și după ieșirea din Safari, deoarece sunt gestionate de o aplicație separată.
Concluzie
Aceste actualizări subliniază importanța menținerii dispozitivelor la zi pentru a proteja împotriva amenințărilor emergente de securitate. Utilizatorii sunt sfătuiți să instaleze prompt cele mai recente actualizări de firmware pentru dispozitivele lor AirPods și Beats, precum și actualizarea visionOS, pentru a se asigura că dispozitivele lor rămân securizate.
Sursa articolului:
https://thehackernews.com/2024/06/apple-patches-airpods-bluetooth.html
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
