Af Eskil Sørensen, 25/07/23
Apple har udsendt sikkerhedsopdateringer til håndtering af 0-dagssårbarheder, der udnyttes i angreb rettet mod iPhones, Macs og iPads.
Det skriver Bleeping Computer og en række andre medier.
En af fejlene har id’et CVE-2023-37450 og en CVSS-score på 8,8. Det er en Webkitfejl, der er håndteret tidligere på måneden som en del af det nye ’Rapid Security Response’-koncept, som Apple lancerede først på året i et forsøg på at udrulle opdateringer hurtigere og for at gøre opmærksom på vigtigheden af at installere opdateringer, når de er tilgængelige.
Den anden 0-dagssårbarhed er en kernel-fejl med id’et CVE-2023-38606. Denne er blevet udnyttet i angreb rettet mod enheder, der kører ældre versioner af iOS før iOS 15.7.1. Bleeping Computer skriver med henvisning til Kaspersky, at sårbarheden CVE-2023-38606 er en del af en nul-klik udnyttelseskæde, der bruges til at implementere spyware på iPhones via iMessage.
Derudover er der behandlet de tre 0-dagssårbarheder i macOS Ventura 13.4, iOS og iPadOS 16.5, tvOS 16.5, watchOS 9.5 og Safari 16.5.
Listen over enheder, der er påvirket af sårbarhederne inkluderer en bred vifte af iPhone- og iPad-modeller samt Mac-computere, der kører macOS Big Sur, Monterey og Ventura. Disse fremgår Apples support-side.
Siden starten af året har Apple rettet 11 0-dagssårbarheder, der er blevet udnyttet i angreb mod iOS-, macOS- og iPadOS-enheder.
Links:
https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-used-in-attacks-against-iphones-macs/
https://support.apple.com/en-us/HT213841
https://nakedsecurity.sophos.com/2023/07/25/apple-ships-that-recent-rapid-response-spyware-patch-to-everyone-fixes-a-second-zero-day/
https://www.securityweek.com/apple-patches-another-kernel-flaw-exploited-in-operation-triangulation-attacks/