Af Eskil Sørensen, 19/08/22
Apple har i denne uge udrullet nødpatches, der adresserer et par allerede udnyttede 0-dages sårbarheder på macOS- og iOS-platformene.
Det skriver Security Week og Bleeping Computer.
Apple har selv bekræftet udnyttelserne, der vedrører fejl ved kodeudførelse i fuldt patchede iPhone-, iPad- og macOS-enheder. Ifølge Bleeping Computer har 0-dagssårbarhederne været brugt til at implementere NSO iPhone-spyware. Der er ingen detaljer om udnyttelsen eller givet oplysninger om IoC’er (indicators of compromise), der kan bruges til at finde tegn på infektioner.
Rettelserne bliver sendt ud via automatisk opdatering, hvorved de nye versionnumre er hhv. macOS Monterey 12.5.1, iOS 15.6.1 og iPadOS 15.6.1.
En af sårbarhederne (CVE-2022-32893, CVSS-score på 7,0) er et out-of-bounds-skriveproblem i WebKit, der kan gøre det muligt for en trusselsaktør at afvikle kode eksternt på en sårbar enhed. En out-of-bounds skrivesårbarhed er, når en angriber kan levere input til et program, der får det til at gå ned eller i værste fald gøre fjernafvikling af kode muligt.
Links:
https://www.securityweek.com/apple-patches-new-macos-ios-zero-days