Szerző: Asztalos Olivér

2021. május 5. 14:23

Kritikus biztonsági hibákat javít az iOS 14.5.1

Máris, csupán bő egy héttel az iOS 14.5 megjelenése után adta ki mobilos operációs rendszerének következő alverzióját az Apple. A 14.5.1-es jelölésű szoftver elsősorban biztonsági rések betömésére hivatott.

HIRDETÉS

A frissítés két újonnan felfedezett zero-day sebezhetőséget javít, melyekkel a támadok rosszindulatú kódokat futtathatnak az iOS korábbi verzióival rendelkező készülékeken. Mindkét hiba a WebKit böngészőmotorban gyökerezik, amelyet a Safarin, a Mailen, illetve az App Store-on kívül az összes iOS-es böngésző, valamint több tucat más alkalmazás is használ különféle webes tartalmak megjelenítéséhez.

Alkalmazásfejlesztés mindenkinek webinár a Microsofttal (x)

Ismerd meg, hogyan tudsz kódolás nélkül alkalmazásokat létrehozni, adatokat elemezni és folyamatokat automatizálni a Microsoft Power Platform segítségével.

Alkalmazásfejlesztés mindenkinek webinár a Microsofttal (x) Ismerd meg, hogyan tudsz kódolás nélkül alkalmazásokat létrehozni, adatokat elemezni és folyamatokat automatizálni a Microsoft Power Platform segítségével.

A legújabb iOS ezeket, pontosabban a CVE-2021-30663 és CVE-2021-30665 kód alatt követett sebezhetőséget hivatott orvosolni. Az Apple nem árult el túl sok részletet, mindössze annyi ismert, hogy az elkövetők megfelelően preparált webes tartalmak segítéségével tetszőleges kódokat futtathatnak a készülékeken. A cupertinói óriás hozzátette, hogy már érkezett olyan jelentés, amely szerint a biztonsági rést aktívan kihasználták a támadók. Érdekesség, hogy a CVE-2021-30665-öt egy kínai biztonsági cég, a Qihoo 360 fedezte fel, a 30665-ös végződésű megtalálójának kilétét azonban nem fedte fel az Apple.

webkit

Legutóbb alig egy hónapja jelentett hasonló, ugyancsak a Webkitet érintő zero-day sebezhetőséget az Apple. Az év eddig eltelt négy hónapjában összesen 22 különféle zero-day biztonsági hibát dokumentáltak a kutatók, melyek bő harmada az cupertinói vállalat egyes termékeit, azok közül is elsősorban az iOS-es eszközöket érintették. Ezzel az aránnyal iOS a Chrome mögött a második helyen áll, vagyis az Apple operációs rendszere kifejezetten népszerű célpontnak számít. A vállalat több más szereplőhöz hasonlóan vaskos összegeket fizet az egyes biztonsági hibákért. A felhasználói adatokhoz való hozzáférést engedő bugokért 25 ezer dollárt, a secure boot firmware komponensekben található hibákért pedig akár 200 ezres díjat is hajlandó átutalni az Apple.

A biztonsági rések mellett az iOS 14.5 legnagyobb fejlesztését, vagyis az új adatvédelmi beállítást is ráncba szedi a 14.5.1. Az Apple szótárában App Tracking Transparency néven futó funkció sokszor nem működött megfelelően, a felhasználóknak szánt figyelmeztetés bizonyos beállításokat követően meg sem jelent a képernyőn.

Június 23-án a modern fejlesztői környezetek biztonságával foglalkozó ingyenes meetup lesz. Kiderül hogyan kell a biztonságot a cég kultúra részéve tenni, hogyan lehet skálázni mindezt a deploy sebességével együtt, és lesz szó a Docker és Kubernetes biztonságáról is.

a címlapról

Hirdetés

Találkozzunk, idén is lesz SYSADMINDAY!

2021. június 18. 04:34

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Hosszú hónapok bezártsága után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal, szakmázzunk, és sörözzünk együtt.