Af Eskil Sørensen, 14/12/22
Apple har i dag udsendt sikkerhedsopdateringer, der bl.a. retter årets 10. 0-dagssårbarhed. Det fremgår af en artikel i Bleeping Computer med henvisning til en sikkerhedsbulletin fra Apple. Her fremgår det, at hvor Apple advarer om, at fejlen ’kan være blevet aktivt udnyttet’.
Fejlen har id’et CVE-2022-42856 og betegnes som kritisk, hvilket almindeligvis betyder en CVSS-score på over 9. Scoren er dog ikke tilgængelig endnu på National Vulnerability Database. Fejlen er et ’type confusion’-problem i Apples Webkit-browser og gør det muligt for en fjernangriber at afvikle vilkårlig kode på målsystemet. Det kræver at en fjernangriber narrer et offer til at besøge et specielt udformet websted. Det kan udløse fejlen og kan resultere i fuldstændig kompromittering af det sårbare system.
Apple har i forbindelse med opdateringerne rettet fejl i mange af sine øvrige produkter, herunder MacOS Monterey, MacOS Big Sur, MacOS Ventura, tvOS, watchOS, iOS/iPadiOS, iCloud for Windows og Safari.