Apple har udgivet sikkerhedsopdateringer for at rette to zero-day sårbarheder, hvor den ene er offentliggjort og den anden bekræftet udnyttet af angribere til at hacke sig ind på iPhones og Macs.
Den første zero-day patch (tracket som CVE-2022-22587) [1, 2] er en fejl i hukommelseskorruption i IOMobileFrameBuffer, der påvirker iOS, iPadOS og macOS Monterey.
Succesfuld udnyttelse af denne bug fører til random kodekørsel med kernel-rettigheder på kompromitterede enheder.
“Apple is aware of a report that this issue may have been actively exploited,” – kilde securityweek.com
Den komplette liste over berørte enheder inkluderer:
- iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad 5. generation og nyere, iPad mini 4 og nyere, og iPod touch (7. generation)
- og macOS Monterey
Fejlen blev fundet af en anonym forsker, Meysam Firouzi (@R00tkitSMM) fra MBition – Mercedes-Benz Innovation Lab og Siddharth Aeri (@b1n4r1b01).
Læs også: Hvordan deler jeg Wi-Fi-adgangskoden på min iPhone
Den anden zero-day bug er en Safari WebKit-fejl i iOS og iPadOS, der gjorde det muligt for websteder at spore din browseraktivitet og brugernes identitet i realtid.
Fejlen blev først afsløret til Apple af Martin Bajanik fra FingerprintJS den 28. november 2021 og offentliggjort den 14. januar 2022. Efter at forskeren afslørede fejlen, blev den tildelt CVE-2022-22594 og rettet i dagens iOS 15.3 og iPadOS 15.3 sikkerhedsopdatering.
Disse fejl er de første zero-day sårbarheder rettet af Apple i 2022.
Apple rettede dog, hvad der føltes som en uendelig strøm af zero-day fejl i 2021, der blev brugt i angreb mod iOS- og macOS-enheder.
Disse fejl inkluderede adskillige zero-day sårbarheder, der blev brugt til at installere Pegasus-spywaren på journalisters, aktivisters og politikeres iPhones.
Kilde: securityweek.com, Apple, Flicker
