Apple har udsendt nye sikkerhedsopdateringer for at håndtere flere sårbarheder i iOS og macOS. En af sårbarhederne er en 0-dagsfejl, som er under aktiv udnyttelse.
Det skriver The Hacker News m.fl..
0-dagsfejlen har id’et CVE-2022-32917 og findes i Kernel-komponenten. Effekten af en udnyttelse er, at det er muligt for en ondsindet app at afvikle vilkårlig kode med kernerettigheder. Det er den anden Kernel-relaterede 0-dagsfejl, som Apple har måttet håndtere inden for en måned.
0-dagssårbarhed i ældre iPhones under aktiv udnyttelse får Apple til at udsende sikkerhedsopdatering.
Det skriver Bleeping Computer.
Fejlen har id’et CVE-2022-3289 og er af NVD blevet tildelt en score på 7,8 på CVSS-skalaen. Sårbarheden er en såkaldt out-of-bounds write sårbarhed in WebKit. Webkit er en browsermotor, som anvendes af Safari og andre apps til at få adgang til internettet. WebKit-fejl findes i softwarelaget under Safari.
Apple har i denne uge udrullet nødpatches, der adresserer et par allerede udnyttede 0-dages sårbarheder på macOS- og iOS-platformene.
Det skriver Security Week og Bleeping Computer.
Apple har selv bekræftet udnyttelserne, der vedrører fejl ved kodeudførelse i fuldt patchede iPhone-, iPad- og macOS-enheder. Ifølge Bleeping Computer har 0-dagssårbarhederne været brugt til at implementere NSO iPhone-spyware. Der er ingen detaljer om udnyttelsen eller givet oplysninger om IoC’er (indicators of compromise), der kan bruges til at finde tegn på infektioner.
Apples har torsdag udgivet nødpatches for at dække et par aktivt udnyttede sårbarheder, der påvirker bl.a. macOS-, iOS- og iPadOS-enheder. Det skriver Security Weeks m.fl.
Der er to fejl - CVE-2022-22675 og CVE-2022-22674 – der findes i alle de større operativsystemer. Apple advarer om, at angreb til fjernafvikling af kode allerede kan være i gang. De nye versioner af styresystemerne har numrene iOS 15.4.1, iPadOS 15.4.1, tvOS 15.4.1 og watchOS 8.5.1.
Der er også udgivet en ny version af macOS Monterey med nummeret 12.3.1
Apple har udgivet rettelser til mindst 39 sikkerhedsfejl i iOS/iPadOS-platformen og har i samme forbindelse advaret om, at de mest alvorlige af fejlene vil kunne udsætte brugere for fjernafvikling af kode. Det kan ske hvis en iPhone-bruger åbner en ondsindet PDF-fil eller ser ondsindet webindhold. Det skriver Security Week og Itnews.
Ud over rettelserne er der er også udsendt opdateringer til macOS (Catalina, Big Sur, Monterey inkluderet), tvOS, WatchOS, iTunes og Xcode.
Der er fundet en alvorlig sårbarhed i Apples WebKit engine. WebKit engine er bredt anvendt i bl.a. macOS, iOS og Linux. Ondsindet webindhold kan føre til eksekvering af kode på enheden.
Apple har udgivet opdateringer til iPhone 6s og nyere; alle modeller af iPad Pro, iPad Air version 2 og nyere, generation 5 og nyere af iPad generation 4 og nyere af iPad mini og generation 7 og nyere af iPod touch.
Patch nummeret er 15.3.1 til både iOS og iPadOS. Mere information kan hentes via linket nedenfor.
En sikkerhedsresearcher har fået en rekordstor dusør på 100.500 dollar for at have fundet og rapporteret en fejl i macOS. Det skriver The Hacker News.
Researcheren Ryan Pickren fandt fejlen ved at udnytte en kæde af sikkerhedsproblemer i iCloud Sharing og Safari 15. Fejlen gjorde det muligt for ham at overtage multimedietilladelsen og få ’fuld adgang til alle websteder, der nogensinde er besøgt af offeret’ i Safari, inklusive Gmail, iCloud, Facebook og PayPal-konti .
Apple sendte sent onsdag en iOS-opdatering ud med rettelser til 11 dokumenterede sikkerhedsfejl. Det skriver Security Week og en række andre medier. Samtidig med opdateringen advarer Apple om, at en af sårbarhederne kan være blevet aktivt udnyttet.
Fejlen, der har id’et CVE-2022-22587, har fået en relativ høj score på CVSS-skalaen, nemlig 7.8.
Apple har udsendt opdatering til iPhone og iPad kun et par uger efter rettelsen af en alvorlig sårbarhed i iOS / iPad14.7 og en uges tid efter den nye version 15 kom frem. Det skriver Security Affairs og en række andre medier.
Opdateringen har fået nummer 15.0.2 og er udsendt for at håndtere en 0-dagssårbarhed, der aktivt udnyttes ’in the wild’ i angreb mod telefoner og iPads.