Af Eskil Sørensen, 22/09/23
Apple har udsendt sikkerhedsopdateringer for at rette tre nye 0-dags sårbarheder, der blev udnyttet i angreb rettet mod iPhone- og Mac-brugere.
Det skriver Bleeping Computer.
To af sårbarhederne findes i WebKit-browsermotoren (CVE-2023-41993) og sikkerhedsrammen (CVE-2023-41991). Fejlene gør det muligt for angribere at omgå signaturvalidering ved hjælp af ondsindede apps eller opnå mulighed for afvikling af vilkårlig kode via ondsindet udformede websider.
Den tredje sårbarhed blev fundet i Kernel Framework. Lokale angribere kan udnytte denne fejl (CVE-2023-41992) til at eskalere privilegier.
Fejlene er rettet i hhv. macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1 og watchOS 9.6.3/10.0.
Apple skriver selv i sin advisory, at man er opmærksom på, at problemerne kan være blevet aktivt udnyttet mod versioner af iOS før iOS 16.7.
De berørte enheder omfatter ældre og nyere enhedsmodeller, herunder:
- iPhone 8 og nyere
- iPad mini 5. generation og nyere
- Mac'er, der kører macOS Monterey og nyere
- Apple Watch Series 4 og nyere
DKCERT anbefaler, at enheder opdateres til nyeste version.