Den israelske leverandør af spyware NSO Group har brugt mindst tre hidtil ukendte iOS '0-kliks-udnyttelser' i 2022. Det skriver Security Week med henvisning til en rapport fra Citizen Lab.
NSO Groups er kendt for at udvikle Pegasus, som er et spywareprogram, der bruges mod fremtrædende personer, journalister og menneskerettighedsaktivister og er ofte blevet leveret til udvalgte iPhones ved hjælp af 0-klik og/eller 0-dagssårbarheder.
CISA har beordret føderale enheder i USA til at rette sårbarheder, som er blevet set udnyttet i de seneste angreb mhp. installation af kommerciel spyware på mobile enheder.
Det skriver Bleeping Computer på baggrund af en opdatering af CISAs katalog over kendte udnyttede sårbarheder. Som vi skrev i sidste uge, har Googles Threat Analysis Group afdækket kampagneaktiviteter, som har været brugt til en serie af forsøg på at kompromittere iOS- og Android-enheder.
Apple har udsendt opdateringer, herunder rettelse til en 0-dagssårbarhed i ældre produkter. Sårbarheden påvirker iPhone 6s (alle modeller), iPhone 7 (alle modeller), iPhone SE (1. generation), iPad Air 2, iPad mini (4. generation) og iPod touch (7. generation).
Apple har rettet sikkerhedsopdateringer til en 0-dagssårbarhed, så også ældre iPhones og iPads er dækket.
Det skriver Bleeping Computer.
Selve sårbarheden, CVE-2022-42856, påvirker WebKit-browsermotoren, der bruges i Safari. En angriber kan udnytte fejlen, når han behandler specielt fremstillet indhold for at opnå vilkårlig kodeudførelse.
Apple har udsendt patches uden for den normale opdateringscyklus for at håndtere sårbarheder i iOS og macOS. Det skriver bl.a. Security Affairs. Der er tale om to fejl i libxml2-biblioteket til parsing af XML-dokumenter. Udnyttelse kan medføre, at en fjernangriber kan forårsage nedlukning af en app eller afvikling af vilkårlig kode.
Fejlene har id’erne CVE-2022-40303 og CVE-2022-40304 og har fået risiko-prædikatet ’high’.
Med opdateringerne installeret får produkterne følgende versionsnumre: macOS Ventura 13.0.1, iOS 16.1.1 og iPadOS 16.1.1.
Apple har udsendt nye sikkerhedsopdateringer for at håndtere flere sårbarheder i iOS og macOS. En af sårbarhederne er en 0-dagsfejl, som er under aktiv udnyttelse.
Det skriver The Hacker News m.fl..
0-dagsfejlen har id’et CVE-2022-32917 og findes i Kernel-komponenten. Effekten af en udnyttelse er, at det er muligt for en ondsindet app at afvikle vilkårlig kode med kernerettigheder. Det er den anden Kernel-relaterede 0-dagsfejl, som Apple har måttet håndtere inden for en måned.
0-dagssårbarhed i ældre iPhones under aktiv udnyttelse får Apple til at udsende sikkerhedsopdatering.
Det skriver Bleeping Computer.
Fejlen har id’et CVE-2022-3289 og er af NVD blevet tildelt en score på 7,8 på CVSS-skalaen. Sårbarheden er en såkaldt out-of-bounds write sårbarhed in WebKit. Webkit er en browsermotor, som anvendes af Safari og andre apps til at få adgang til internettet. WebKit-fejl findes i softwarelaget under Safari.
Apples har torsdag udgivet nødpatches for at dække et par aktivt udnyttede sårbarheder, der påvirker bl.a. macOS-, iOS- og iPadOS-enheder. Det skriver Security Weeks m.fl.
Der er to fejl - CVE-2022-22675 og CVE-2022-22674 – der findes i alle de større operativsystemer. Apple advarer om, at angreb til fjernafvikling af kode allerede kan være i gang. De nye versioner af styresystemerne har numrene iOS 15.4.1, iPadOS 15.4.1, tvOS 15.4.1 og watchOS 8.5.1.
Der er også udgivet en ny version af macOS Monterey med nummeret 12.3.1
Apple har udgivet rettelser til mindst 39 sikkerhedsfejl i iOS/iPadOS-platformen og har i samme forbindelse advaret om, at de mest alvorlige af fejlene vil kunne udsætte brugere for fjernafvikling af kode. Det kan ske hvis en iPhone-bruger åbner en ondsindet PDF-fil eller ser ondsindet webindhold. Det skriver Security Week og Itnews.
Ud over rettelserne er der er også udsendt opdateringer til macOS (Catalina, Big Sur, Monterey inkluderet), tvOS, WatchOS, iTunes og Xcode.
Der er fundet en alvorlig sårbarhed i Apples WebKit engine. WebKit engine er bredt anvendt i bl.a. macOS, iOS og Linux. Ondsindet webindhold kan føre til eksekvering af kode på enheden.
Apple har udgivet opdateringer til iPhone 6s og nyere; alle modeller af iPad Pro, iPad Air version 2 og nyere, generation 5 og nyere af iPad generation 4 og nyere af iPad mini og generation 7 og nyere af iPod touch.
Patch nummeret er 15.3.1 til både iOS og iPadOS. Mere information kan hentes via linket nedenfor.