Apple opfordrer macOS, iPhone og iPad-brugere til omgående at installere respektive opdateringer i denne uge, der inkluderer rettelser til to nul-dage under aktivt angreb. Patcherne er til sårbarheder, der gør det muligt for angribere at udføre vilkårlig kode og i sidste ende overtage enheder.
Patches er tilgængelige for aktiverede enheder, der kører iOS 15.6.1 , macOS Monterey 12.5.1. Patches adresserer to fejl, som dybest set påvirker enhver Apple-enhed, der kan køre enten iOS 15 eller Monterey-versionen af dets desktop OS, ifølge sikkerhedsopdateringer udgivet af Apple onsdag.
En af fejlene er en kernefejl (CVE-2022-32894), som findes både i iOS og macOS. Ifølge Apple er det et "out-of-bounds skriveproblem [der] blev løst med forbedret grænsekontrol."
Sårbarheden tillader en applikation at udføre vilkårlig kode med kernerettigheder, ifølge Apple, som på sædvanlig vag måde sagde, at der er en rapport om, at den "kan være blevet aktivt udnyttet."
Den anden fejl er identificeret som en WebKit-fejl (sporet som CVE-2022-32893), som er et skriveproblem uden for grænserne, som Apple løste med forbedret grænsekontrol. Fejlen giver mulighed for at behandle ondsindet udformet webindhold, der kan føre til kodeudførelse, og er også blevet rapporteret at være under aktiv udnyttelse, ifølge Apple. WebKit er browsermotoren, der driver Safari og alle andre tredjepartsbrowsere, der fungerer på iOS.
Pegasus-lignende scenarie
Opdagelsen af begge fejl, som man ikke ved mere end Apples afsløring om, blev krediteret til en anonym forsker.
En ekspert udtrykte bekymring for, at de seneste Apple-fejl "effektivt kunne give angribere fuld adgang til enheden", de kunne skabe en Pegasus-agtig scenarie svarende til det, hvor nationalstaternes APT'er spærrede mål med spyware lavet af den israelske NSO Group ved at udnytte en iPhone-sårbarhed.
"For de fleste: Opdater software ved slutningen af dagen," Tweetet Rachel Tobac, administrerende direktør for SocialProof Security, om nul-dage. "Hvis trusselsmodellen er forhøjet (journalist, aktivist, målrettet af nationalstater osv.): opdater nu," advarede Tobac.
Nul-dage i overflod
Fejlene blev afsløret sammen med andre nyheder fra Google i denne uge, at det lappede sin femte nul-dag indtil videre i år for sin Chrome-browser, en vilkårlig kodeudførelsesfejl under aktivt angreb.
Nyheden om endnu flere sårbarheder fra topteknologiske leverandører, der bliver oversvømmet af trusselsaktører, viser, at på trods af den bedste indsats fra top-tier teknologivirksomheder for at løse flerårige sikkerhedsproblemer i deres software, er det stadig en kamp op ad bakke, bemærkede Andrew Whaley, senior teknisk direktør hos Promon, et norsk app-sikkerhedsfirma.
Fejlene i iOS er især bekymrende i betragtning af den allestedsnærværende af iPhones og brugernes fuldstændige afhængighed af mobile enheder i deres daglige liv, sagde han. Det påhviler dog ikke kun leverandørerne at beskytte disse enheder, men også for brugerne at være mere opmærksomme på eksisterende trusler, bemærkede Whaley.
"Selvom vi alle er afhængige af vores mobile enheder, er de ikke usårlige, og som brugere skal vi bevare vores vagt, ligesom vi gør på desktopoperativsystemer," sagde han i en e-mail til Threatpost.
Samtidig bør udviklere af apps til iPhones og andre mobile enheder også tilføje et ekstra lag af sikkerhedskontrol i deres teknologi, så de er mindre afhængige af OS-sikkerhed for beskyttelse, givet de fejl, der ofte dukker op, observerede Whaley.
"Vores erfaring viser, at dette ikke sker nok, hvilket potentielt efterlader banker og andre kunder sårbare," sagde han.
- Apple iPhone
- Apples sårbarheder
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- hacks
- Kaspersky
- malware
- Mcafee
- mobil Sikkerhed
- nyheder
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Threat Post
- VPN
- Sårbarheder
- website sikkerhed
- zephyrnet
