front_en.3.full
Credit: world.openfoodfacts.org

Apple retter nye zero-day sårbarheder

Apple har udgivet sikkerhedsopdateringer for at rette to zero-day sårbarheder, hvor den ene er offentliggjort og den anden bekræftet udnyttet af angribere til at hacke sig ind på iPhones og Macs.

Den første zero-day patch (tracket som CVE-2022-22587) [1, 2] er en fejl i hukommelseskorruption i IOMobileFrameBuffer, der påvirker iOS, iPadOS og macOS Monterey.

Succesfuld udnyttelse af denne bug fører til random kodekørsel med kernel-rettigheder på kompromitterede enheder.

“Apple is aware of a report that this issue may have been actively exploited,” – kilde securityweek.com

Den komplette liste over berørte enheder inkluderer:

  • iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad 5. generation og nyere, iPad mini 4 og nyere, og iPod touch (7. generation)
  • og macOS Monterey

Fejlen blev fundet af en anonym forsker, Meysam Firouzi (@R00tkitSMM) fra MBition – Mercedes-Benz Innovation Lab og Siddharth Aeri (@b1n4r1b01).

Læs også: Hvordan deler jeg Wi-Fi-adgangskoden på min iPhone

Den anden zero-day bug er en Safari WebKit-fejl i iOS og iPadOS, der gjorde det muligt for websteder at spore din browseraktivitet og brugernes identitet i realtid.

Fejlen blev først afsløret til Apple af Martin Bajanik fra FingerprintJS den 28. november 2021 og offentliggjort den 14. januar 2022. Efter at forskeren afslørede fejlen, blev den tildelt CVE-2022-22594 og rettet i dagens iOS 15.3 og iPadOS 15.3 sikkerhedsopdatering.

Disse fejl er de første zero-day sårbarheder rettet af Apple i 2022.

Apple rettede dog, hvad der føltes som en uendelig strøm af zero-day fejl i 2021, der blev brugt i angreb mod iOS- og macOS-enheder.

Disse fejl inkluderede adskillige zero-day sårbarheder, der blev brugt til at installere Pegasus-spywaren på journalisters, aktivisters og politikeres iPhones.

Kilde: securityweek.com, Apple, Flicker

Be Social!