Apple retter 0-dagssårbarheder

Sårbarheder allerede udnyttet i angreb.

Apple har udsendt sikkerhedsopdateringer til håndtering af 0-dagssårbarheder, der udnyttes i angreb rettet mod iPhones, Macs og iPads.

Det skriver Bleeping Computer og en række andre medier.

En af fejlene har id’et CVE-2023-37450 og en CVSS-score på 8,8. Det er en Webkitfejl, der er håndteret tidligere på måneden som en del af det nye ’Rapid Security Response’-koncept, som Apple lancerede først på året i et forsøg på at udrulle opdateringer hurtigere og for at gøre opmærksom på vigtigheden af at installere opdateringer, når de er tilgængelige.

Den anden 0-dagssårbarhed er en kernel-fejl med id’et CVE-2023-38606. Denne er blevet udnyttet i angreb rettet mod enheder, der kører ældre versioner af iOS før iOS 15.7.1. Bleeping Computer skriver med henvisning til Kaspersky, at sårbarheden CVE-2023-38606 er en del af en nul-klik udnyttelseskæde, der bruges til at implementere spyware på iPhones via iMessage.

Derudover er der behandlet de tre 0-dagssårbarheder i macOS Ventura 13.4, iOS og iPadOS 16.5, tvOS 16.5, watchOS 9.5 og Safari 16.5.

Listen over enheder, der er påvirket af sårbarhederne inkluderer en bred vifte af iPhone- og iPad-modeller samt Mac-computere, der kører macOS Big Sur, Monterey og Ventura. Disse fremgår Apples support-side.

Siden starten af året har Apple rettet 11 0-dagssårbarheder, der er blevet udnyttet i angreb mod iOS-, macOS- og iPadOS-enheder.

Links:

https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-macs/
https://support.apple.com/en-us/HT213841
https://nakedsecurity.sophos.com/2023/07/25/apple-ships-that-recent-rapid-response-spyware-patch-to-everyone-fixes-a-second-zero-day/
https://www.securityweek.com/apple-patches-another-kernel-flaw-exploited-in-operation-triangulation-attacks/

https://securityonline.info/cve-2023-38606-cve-2023-37450-apple-addresses-actively-exploited-0-day-flaws/