Af Eskil Sørensen, 24/01/23
Apple har rettet sikkerhedsopdateringer til en 0-dagssårbarhed, så også ældre iPhones og iPads er dækket.
Det skriver Bleeping Computer.
Selve sårbarheden, CVE-2022-42856, påvirker WebKit-browsermotoren, der bruges i Safari. En angriber kan udnytte fejlen, når han behandler specielt fremstillet indhold for at opnå vilkårlig kodeudførelse.
Sårbarheden blev rettet i december, hvor Apple udgav rettelser til iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2 og macOS Ventura 13.1. Den blev kendt som en 0-dages sårbarhed, der aktivt blev anvendt i angreb mod iPhones. Den blev vurderet til at være så alvorlig, at CISA føjede sårbarheden til sit katalog over kendte udnyttede sårbarheder med den 4. januar som føderale enheders deadline for håndtering af den.
Men siden er Apple blevet bekendt med, at sårbarheden kan være blevet aktivt udnyttet på iOS-versioner før iOS 15.1. For at sikre ældre enheder mod angreb har Apple også udgivet iOS 12.5.7, der anvendes af endnu ældre produkter, dvs. iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 og 6. generation af iPod touch.
Links:
https://securityaffairs.com/141221/security/apple-backported-patches-cve-2022-42856.html