Apple retter nul-dages spyware-implantationsfejl – patch nu!

Apple retter nul-dages spyware-implantationsfejl – patch nu!

Tidsstempel: 14. februar 2023 kl. 2:08
Kildeknude: 1958225
by Paul Ducklin

Apple har netop udgivet opdateringer til alle understøttede Mac'er og til alle mobile enheder, der kører de allernyeste versioner af deres respektive operativsystemer.

I versionsnummerudtryk:

  • iPhones , iPad på version 16 gå til iOS 16.3.1 , iPadOS 16.3.1 henholdsvis (se HT213635).
  • Æble ure på version 9 gå til Watch 9.3.1 (ingen bulletin).
  • Mac'er, der kører Ventura (version 13) gå til MacOS 13.2.1 (se HT213633).
  • Mac'er, der kører Big Sur (version 11) og Monterery (12) få en opdatering døbt Safari 16.3.1 (se HT213638).

Åh, og tvOS får dog også en opdatering Apples tv-platform går forvirrende til tvOS 16.3.2 (ingen bulletin).

Tilsyneladende modtog tvOS for nylig en produktspecifik funktionalitetsfix (en opført på Apples sikkerhedsside uden information ud over sætningen Denne opdatering har ingen offentliggjorte CVE-poster, hvilket antyder ingen rapporterede sikkerhedsrettelser), der allerede brugte versionsnummeret 16.3.1 til Apple TV'er.

Som vi har set før, får mobile enheder, der stadig bruger iOS 15 og iOS 12, intet, men uanset om det er, fordi de er immune over for denne fejl eller simpelthen, at Apple ikke har nået at lappe dem endnu...

… vi aner ikke.

Vi har aldrig været helt sikre på, om dette tæller som en afsløring af forsinkede opdateringer eller ej, men (som vi har set tidligere) danner Apples sikkerhedsbulletinnumre en intermitterende heltalssekvens. Tallene går fra 213633 til 213638 inklusive, med et mellemrum på 213634 og huller på 213636 og 213637. Er disse sikkerhedshuller, der vil blive udfyldt med patches, der endnu ikke skal frigives, eller er det bare huller?

Hvad er det for en nuldag?

I betragtning af at Safari-browseren er blevet opdateret på de tidligere og forudgående versioner af macOS, antager vi, at ældre mobile enheder i sidste ende også vil modtage patches, men du bliver nødt til at holde øje med Apples officielle HT201222 Sikkerhedsopdateringer portal for at vide, om og hvornår de kommer ud.

Som nævnt i overskriften er dette endnu et af disse "det lugter af spyware eller jailbreak"-problemer, da alle opdateringer, som der findes officiel dokumentation for, inkluderer patches til en fejl, der er angivet CVE-2023-23529.

Dette sikkerhedshul er en fejl i Apples WebKit-komponent, der beskrives som Behandling af ondsindet webindhold kan føre til vilkårlig kodeudførelse.

Fejlen modtager også Apples sædvanlige eufemisme for "dette er et nul-dages hul, som skurke allerede misbruger til onde formål, og du kan helt sikkert forestille dig, hvad det kan være", nemlig ordene, der Apple er bekendt med en rapport om, at dette problem kan være blevet aktivt udnyttet.

Husk, at WebKit er en operativsystemkomponent på lavt niveau, der er ansvarlig for at behandle data hentet fra eksterne webservere, så de kan vises af Safari og mange andre webbaserede vinduer, der er programmeret til hundredvis af andre apps.

Altså ordene vilkårlig kodeudførelse ovenfor virkelig står for fjern kodeudførelseeller RCE.

Installer jacking

Web-baserede RCE-udnyttelser giver generelt angribere en måde at lokke dig til et booby-fanget websted, der ser helt usædvanligt og utruende ud, mens de implanterer malware usynligt blot som en bivirkning af, at du ser webstedet.

En web-RCE fremkalder typisk ikke pop-ups, advarsler, downloadanmodninger eller andre synlige tegn på, at du påbegynder nogen form for risikabel adfærd, så der er ingen grund til, at angriberen skal fange dig eller narre dig til at tage den slags online risiko, som du normalt ville undgå.

Det er derfor, denne form for angreb ofte omtales som et drive-by download eller drive-by installation.

Bare det at se på et websted, som burde være harmløst, eller at åbne en app, der er afhængig af webbaseret indhold til en hvilken som helst af dens sider (f.eks. dets splash-skærm eller dets hjælpesystem), kan være nok til at inficere din enhed.

Husk også, at på Apples mobile enheder er selv ikke-Apple-browsere som Firefox, Chrome og Edge tvunget af Apples AppStore-regler til at holde sig til WebKit.

Hvis du installerer Firefox (som har sin egen browser "motor" kaldet Gecko) eller Edge (baseret på et underliggende lag kaldet Blink) på din Mac, bruger disse alternative browsere ikke WebKit under motorhjelmen og vil derfor ikke være sårbare over for WebKit-fejl.

(Bemærk, at dette ikke immuniserer dig mod sikkerhedsproblemer, da Gecko og Blink muligvis medbringer deres egne ekstra fejl, og da masser af Mac-softwarekomponenter alligevel bruger WebKit, uanset om du styrer uden om Safari eller ej.)

Men på iPhones og iPads er alle browsere, uanset leverandør, forpligtet til at bruge operativsystemets eget WebKit-substrat, så alle, inklusive Safari, er teoretisk set i fare, når en WebKit-fejl dukker op.

Hvad skal jeg gøre?

Ihvis du har et Apple-produkt på listen ovenfor, lav et opdateringstjek nu.

På den måde, hvis du allerede har fået opdateringen, vil du forsikre dig selv om, at du er lappet, men hvis din enhed ikke er kommet forrest i downloadkøen endnu (eller du har slået automatiske opdateringer fra, enten ved et uheld eller design), vil du blive tilbudt opdateringen med det samme.

På en Mac er det Apples menu > Om denne Mac > Software opdatering… og på en iDevice er det Indstillinger > Generelt > softwareopdatering.

Hvis dit Apple-produkt ikke er på listen, især hvis du sidder fast tilbage på iOS 15 eller iOS 12, er der ikke noget, du kan gøre lige nu, men vi foreslår, at du holder øje med Apples HT201222 side i tilfælde af, at dit produkt er påvirket og får en opdatering inden for de næste par dage.

Som du kan forestille dig, i betragtning af hvor strengt Apple låser sine mobilprodukter for at forhindre dig i at bruge apps hvor som helst end App Store, som det udøver fuldstændig kommerciel og teknisk kontrol over...

...bugs, der tillader slyngler og skurke at injicere uautoriseret kode på Apple-telefoner, er meget eftertragtede, da RCE'er er omtrent den eneste pålidelige måde for angribere at ramme dig med malware, spyware eller enhver anden form for cyberzombie programmering.

Hvilket giver os en god grund til, som altid, at sige: Udsæt ikke/gør det i dag.

Tidsstempel:

Mere fra Naked Security