Af Eskil Sørensen, 25/05/21
Apple har rettet tre fejl i softwaren til MacOPs og tvOS. To af de tre (CVE-2021-30663 og CVE-2021-30665) påvirker WebKit på Apple TV 4K og Apple TV HD-enheder. Det skriver Bleeping Computer.
Webkit er Apples browsergengivelsesmotor, der bruges af webbrowsere og applikationer til at gengive HTML-indhold på dets desktop og mobilplatforme, herunder iOS, macOS, tvOS og iPadOS. russelsaktører ville kunne udnytte de to sårbarheder ved hjælp af ondsindet webindhold, der ville medføre afvikling af kode på grund af ’memory corruption’.
Den tredje 0-dag (CVE-2021-30713) påvirker macOS Big Sur enheder, og det er et tilladelsesproblem, der findes i rammen Transparency, Consent and Control (TCC). TCC rammen er et macOS undersystem, der blokerer installerede apps for at få adgang til følsomme brugeroplysninger uden at bede om eksplicit tilladelse. Angriberne kunne udnytte denne sårbarhed ved hjælp af et ondsindet program, der kan omgå fortrolighedspræferencer og få adgang til følsomme brugerdata.
En strøm af 0-dage
0-dagssårbarheder er ifølge Bleeping Computer i løbet af det seneste år oftere og oftere dukket i hos Apple; de fleste af dem er også mærket som værende udnyttet før patch. Tidligere på måneden adresserede Apple to iOS 0-dage i Webkit-motoren, der muliggør vilkårlig fjernudførelse af kode (RCE) på sårbare enheder blot ved besøg på ondsindede websteder. Derudover har der været en macOS-fejl i april og ekstern kodeudførelsesfejl, en kernehukommelseslækage og en kerneforøgelsesfejlfunktion - der påvirkede iPhone, iPad og iPod enheder. De sidste blev afsløret i november sidste år.