Търсене
Close this search box.

Apple пусна актуализация на фърмуера за AirPods, която може да позволи на злонамерен хакер да получи достъп до слушалките по неоторизиран начин.

Проследен като CVE-2024-27867, проблемът с удостоверяването на автентичността засяга AirPods (2-ро поколение и по-нови), AirPods Pro (всички модели), AirPods Max, Powerbeats Pro и Beats Fit Pro.

„Когато слушалките ви търсят заявка за връзка с някое от вашите предварително сдвоени устройства, нападател в обхвата на Bluetooth може да успее да подмени предназначеното устройство източник и да получи достъп до слушалките ви“, заяви Apple в консултация от вторник.

С други думи, противник във физическа близост може да се възползва от уязвимостта, за да подслушва лични разговори. Apple заяви, че проблемът е решен с подобрено управление на състоянието.

Йонас Дреслер е признат за открил и съобщил за дефекта. Той е бил поправен като част от AirPods Firmware Update 6A326, AirPods Firmware Update 6F8 и Beats Firmware Update 6F8.

Разработката идва две седмици, след като производителят на iPhone пусна актуализации за VisionOS (версия 1.2), за да отстрани 21 недостатъка, включително седем дефекта в браузърния енджин WebKit.

Един от проблемите се отнася до логически недостатък (CVE-2024-27812), който може да доведе до отказ на услуга (DoS) при обработка на уеб съдържание. Проблемът е отстранен с подобрена обработка на файлове, се казва в съобщението.

Изследователят по сигурността Райън Пикрен, който съобщи за уязвимостта, я описа като „първия в света хак за пространствени изчисления“, който може да бъде използван като оръжие, за да „заобиколи всички предупреждения и насилствено да запълни пространството ви с произволен брой анимирани 3D обекти“ без взаимодействие с потребителя.

Уязвимостта се възползва от неуспеха на Apple да приложи модела на разрешенията, когато използва функцията ARKit Quick Look, за да породи 3D обекти в пространството  на жертвата. Още по-лошо е, че тези анимирани обекти продължават да съществуват дори след излизане от Safari, тъй като се обработват от отделно приложение.

„Нещо повече, дори не се изисква този котвен таг да е бил „кликнат“ от човека“, казва Пикрен. „Така че програмното щракване на JavaScript (т.е. document.querySelector(‘a’).click()) работи без проблем! Това означава, че можем да стартираме произволен брой триизмерни, анимирани, звукосъздаващи обекти без никакво взаимодействие с потребителя.“

 

Източник: The Hacker News

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
Бъдете социални
Още по темата
23/09/2024

Продукти за киберсигурност ...

Последната голяма актуализация на MacOS на...
17/09/2024

Apple закърпва големи пропу...

Дългоочакваното обновяване на iOS 18 на...
15/09/2024

Apple внезапно оттегли съде...

Apple внезапно оттегли съдебния си иск...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!