Af Eskil Sørensen, 08/09/23
Apple har udsendt en sikkerhedsopdatering til iOS- og macOS, der adresserer sikkerhedsfejl, der pt. er under udnyttelse in-the-wild.
Det skriver Security Week og andre medier baseret på updates fra Apple. Security Week mener at vide, at der er tale om sårbarheder, der er under udnyttelse i kommercielle spywareprodukter. Dette sandsynliggøres af, at Citizen Lab har fundet en aktivt udnyttet 0-klikssårbarhed, som kunne bruges til at levere Pegasus Spyware på den nyeste version af iOS, dvs. version 16.6.
Sårbarhederne har id’erne CVE-2023-41064 og CVE-2023-41061. Scoren er sat til 8,8, hvilket som altid suppleres af Vuldb's pris på exploit (pt. 5-25.000 dollar) og en ’CTI interest score’ på pt. 10,0. ’Interest score’ baseres på overvågning af forskellige fora, og er den høj, er det udtryk for en stor interesse fra aktører i at igangsætte udnyttelsesaktiviteter.
CVE-2023-41064 vedrører behandling af et ondsindet billede, hvilket kan føre til afvikling af vilkårlig kode, og CVE-2023-41061 vedrører den situation, at en ondsindet vedhæftet fil kan resultere i afvikling af vilkårlig kode.
Sårbarhederne er rettet i de seneste versioner af iOS 16.6.1 og macOS Ventura 13.5.2, iPadOS 16.6.1 og watchOS 9.6.2. Både ældre og nyere modeller er under påvirkning af de to fejl, herunder iPhone 8 og nyere iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere, og iPad mini 5. generation og nyere Mac'er, der kører macOS Ventura Apple Watch Series 4 og nyere.
Links:
https://www.securityweek.com/apple-patches-actively-exploited-ios-macos-zero-days/