Security Week 51: уязвимости в iOS и процессорах Intel

Security Week 51: уязвимости в iOS и процессорах Intel
10 декабря компания Apple выпустила большой набор патчей для macOS , iOS (включая iPadOS) и watchOS . Пожалуй, наиболее опасным из закрытых багов была уязвимость в FaceTime, затрагивающая все мобильные устройства Apple начиная с iPhone 6s и iPad Air 2. Как и в случае с обнаруженной недавно уязвимостью в WhatsApp , проблема найдена в системе обработки входящих видеофайлов: вредоносный ролик может привести к выполнению произвольного кода. Уязвимость CVE-2019-8830 обнаружила исследователь команды Google Project Zero Натали Сильванович (Natalie Silvanovich): она в прошлом году подробно писала про безопасность мессенджеров, включая FaceTime (начать можно со статьи годичной давности с примерами ранее обнаруженных уязвимостей в приложении).

Еще одну уязвимость обнаружил исследователь Кишан Багария (Kishan Bagaria): он выяснил, что непрерывная отправка документов на устройства Apple, находящиеся поблизости, приводит к отказу в обслуживании. Для этого на iPad или iPhone должна быть включена возможность приема файлов через механизм AirDrop от кого угодно (а не только от пользователей в вашем списке контактов). Баг был ожидаемо назван AirDoS: суть в том, что запрос на прием файла нужно принять или отклонить, и пока этого не сделаешь, другие элементы управления на мобильном устройстве недоступны. Если отправлять запросы постоянно, планшет или смартфон оказывается по факту неработоспособным. Баг был закрыт в iOS 13.3 путем введения ограничения на количество попыток: если отклонить запрос три раза подряд, все последующие попытки отправить файл с того же устройства блокируются автоматически.

6764e3d3f3c4d972a54836a62fe90135.png

Интересный баг был обнаружен и закрыт в процессорах Intel ( новость , бюллетень производителя, сайт уязвимости). Исследователи из университетов Австрии, Бельгии и Великобритании нашли способ скомпрометировать механизм Software Guard Extensions — он обеспечивает дополнительную защиту особо важных данных, таких как ключи шифрования, изолируя их от других процессов в системе. Способ взлома выбран нетривиальный: модификация регистров процессора, отвечающих за энергопотребление. В нормальной ситуации они используются для повышения производительности или дополнительного энергосбережения за рамками штатных настроек процессора.

d7f980d11bca696fd199f65ee6bf00af.png

Исследователи доказали, что значительное понижение напряжения (например, -232 мВ для процессора Core i3-7100U или -195 мВ для Core i7-8650U) в нужный момент вызывает сбой в работе SGX и приводит к повреждению данных: а там, где есть повреждение, открывается возможность для получения доступа к данным, в иных ситуациях недоступным. В качестве примера эксперты продемонстрировали извлечение ключей шифрования при использовании алгоритмов RSA и AES.

Как обычно бывает в атаках такого типа, подобрать правильное напряжение и момент для изменения параметров непросто. Кроме того, реальная атака такого рода хоть и может выполняться удаленно (что нехарактерно для аппаратных уязвимостей), но требует полного доступа к операционной системе. Иначе до параметров работы процессора не добраться. Закрытие уязвимости в данном случае означает обновление микрокода, которое еще должно добраться до реальных устройств (подвержены все пользовательские процессоры Intel Core начиная с шестого поколения, и некоторые Xeon) в виде обновления BIOS.


«Лаборатория Касперского» опубликовала полный отчет (доступен после регистрации, краткий обзор в этой новости ) по киберугрозам за 2019 год. Особый интерес в отчете представляет список уязвимостей, реально использующихся во вредоносном ПО. В отличие от теоретических уязвимостей, эти представляют особую угрозу и требуют немедленного обновления ПО. Для самых популярных эксплуатируемых багов, впрочем, обновления доступны уже больше года. Возглавляют этот список две уязвимости в редакторе формул Microsoft Office, CVE-2017-11882 и CVE-2018-0802 . Пятерка самых часто используемых багов вообще вся касается Microsoft Office. Пример свежей уязвимости — обнаруженный в марте баг CVE-2019-0797, который на тот момент уже эксплуатировался во вредоносных атаках.

Что еще произошло:
Обнаружены критические уязвимости в двух аддонах для WordPress: Ultimate Addons for Beaver Builder и Ultimate Addons for Elementor. Для эксплуатации требуется знать только почтовый адрес администратора сайта.

Еще одна уязвимость нулевого дня в Windows (от 7 до 10 и в Windows Server от 2008) закрыта декабрьским патчем. Баг обнаружен в системной библиотеке win32k.sys, там же содержалась упомянутая ранее уязвимость CVE-2019-0797.

В новой версии браузера Google Chrome 79 закрыты две критические уязвимости, а заодно появилась новая штатная сигнализация об использовании скомпрометированных пар логин-пароль. Ранее эта опция была доступна в виде расширения.

14 критических уязвимостей закрыто в Adobe Reader и Adobe Acrobat. Плюс две уязвимости, приводящие к выполнению произвольного кода в Adobe Photoshop.

Разработчики аддонов для браузера Firefox теперь обязаны использовать двухфакторную авторизацию. Mozilla таким образом пытается снизить риск атак на цепочку поставок: в данном случае имеется в виду сценарий, когда в легитимное расширение вставляется вредоносный код после взлома компьютера разработчика.
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!