אם אתם בעלי מכשירי iPhone או iPad, כדאי לכם לעדכן את המערכת ההפעלה שלכם בהקדם האפשרי. אפל (Apple) הודיעה היום על שחרורה של iOS 17.1.2 ו-iPadOS 17.1.2, שמטרתם לסגור פרצות אבטחה קריטיות שנמצאו במנוע הדפדפן WebKit. הפרצות, שנקראות Zero-day, נוצלו כבר בפועל על ידי תוקפים, והן מאפשרות לקרוא זיכרון רגיש ולגנוב מידע אישי.
פרצות Zero-day: מה זה אומר?
פרצות Zero-day הן פרצות אבטחה שנחשפות לפני שהמפתחים יכולים לתקן אותן. הן נקראות כך כי למפתחים אין אפילו יום אחד להגיב לאיום. הפרצות האלה הן מאוד מסוכנות, כי הן מאפשרות לתוקפים לנצל את החולשות בתוכנה ולהריץ קוד זדוני. הן גם מאוד יקרות, כי הן נדירות ומבוקשות על ידי קבוצות פשע או מוסדות ריגול.
איך הפרצות נוצלו ב-iOS 17?
הפרצות שנמצאו ב-iOS 17 היו קשורות למנוע הדפדפן WebKit, שהוא המנוע שמציג את הדפים האינטרנטיים בדפדפן Safari ובאפליקציות אחרות. הפרצות מאפשרות לתוקפים לקרוא זיכרון מעבר למגבלות המותרות, כך הם קיבלו גישה למידע רגיש ואישי, זאת במידה והאפליקציה משתמשת במנוע של WebKit. זה יכול להגיע עד כדי ניצול בפועל של פרטי המשתמש, כולל סיסמאות וכרטיסי אשראי.
אפל הודיעה שהיא מודעת לדיווחים שהפגיעות נוצלו בגרסאות של iOS לפני iOS 16.7.1, ושהיא עובדת על תיקון הבעיה. החברה ממליצה לכל המשתמשים לעדכן את המערכת ההפעלה שלהם לגרסה החדשה בהקדם האפשרי, כדי להגן על המידע שלהם. העדכון זמין לכל המכשירים שתומכים ב-iOS 17, וניתן להוריד אותו בהגדרות > כללי > עדכון תוכנה.
מי גילה את הפרצות?
הפרצות גילו חוקרים בקבוצת ניתוח האיומים של גוגל (Google), שנקראת Project Zero. הקבוצה מתמחה במציאת והתקפת פרצות Zero-day, ומפרסמת את הממצאים שלה באופן שקוף. הקבוצה גילתה את הפרצות ב-iOS 17 בעקבות פרצות אחרות שגילתה בדפדפן ה-Chrome של גוגל. בשבוע שעבר, גוגל שחררה עדכון לדפדפן המתקן שבע פרצות אבטחה שונות, ואחת מהן הייתה מוגדרת כ’פרצת יום אפס’, אולם היא לא סיפקה על כך פרטים מעבר לכך.