Apple oppfordrer macOS, iPhone og iPad-brukere umiddelbart til å installere respektive oppdateringer denne uken som inkluderer rettelser for to null-dager under aktivt angrep. Patchene er for sårbarheter som lar angripere kjøre vilkårlig kode og til slutt overta enheter.
Patcher er tilgjengelige for berørte enheter som kjører iOS 15.6.1 og macOS Monterey 12.5.1. Patcher adresserer to feil, som i utgangspunktet påvirker enhver Apple-enhet som kan kjøre enten iOS 15 eller Monterey-versjonen av sitt stasjonære OS, ifølge sikkerhetsoppdateringer utgitt av Apple onsdag.
En av feilene er en kjernefeil (CVE-2022-32894), som finnes både i iOS og macOS. I følge Apple er det et "skriveproblem utenfor grensene [som] ble løst med forbedret grensekontroll."
Sårbarheten tillater en applikasjon å kjøre vilkårlig kode med kjerneprivilegier, ifølge Apple, som på vanlig vag måte sa at det er en rapport om at den "kan ha blitt aktivt utnyttet."
Den andre feilen er identifisert som en WebKit-feil (sporet som CVE-2022-32893), som er et skriveproblem utenfor grensene som Apple løste med forbedret grensekontroll. Feilen gjør det mulig å behandle ondsinnet nettinnhold som kan føre til kodekjøring, og har også blitt rapportert å være under aktiv utnyttelse, ifølge Apple. WebKit er nettlesermotoren som driver Safari og alle andre tredjeparts nettlesere som fungerer på iOS.
Pegasus-lignende scenario
Oppdagelsen av begge feilene, som det er lite mer kjent enn Apples avsløring om, ble kreditert til en anonym forsker.
En ekspert uttrykte bekymring for at de siste Apple-feilene "effektivt kunne gi angripere full tilgang til enheten," de kan skape en Pegasus-aktig scenario som ligner det der nasjonalstatlige APT-er sperret mål med spyware laget av israelske NSO Group ved å utnytte en iPhone-sårbarhet.
"For de fleste: oppdater programvare ved slutten av dagen," twitret Rachel Tobac, administrerende direktør for SocialProof Security, angående nulldagene. "Hvis trusselmodellen er forhøyet (journalist, aktivist, målrettet av nasjonalstater, etc): oppdater nå," advarte Tobac.
Null dager i overflod
Feilene ble avduket sammen med andre nyheter fra Google denne uken som det lappet sin femte nulldag så langt i år for Chrome-nettleseren, en feil med vilkårlig kodeutførelse under aktivt angrep.
Nyhetene om at enda flere sårbarheter fra de beste teknologileverandørene blir overveldet av trusselaktører, viser at til tross for den beste innsatsen fra teknologiselskaper på toppnivå for å ta tak i flerårige sikkerhetsproblemer i programvaren deres, er det fortsatt en kamp i oppoverbakke, bemerket Andrew Whaley, senior teknisk direktør ved Promon, et norsk appsikkerhetsselskap.
Feilene i iOS er spesielt bekymrende, gitt allestedsnærværende iPhones og brukernes fullstendige avhengighet av mobile enheter i hverdagen, sa han. Det er imidlertid ikke bare leverandørene som har ansvaret for å beskytte disse enhetene, men også at brukerne skal være mer oppmerksomme på eksisterende trusler, observerte Whaley.
"Selv om vi alle er avhengige av våre mobile enheter, er de ikke usårbare, og som brukere må vi opprettholde vår vakthold akkurat som vi gjør på stasjonære operativsystemer," sa han i en e-post til Threatpost.
Samtidig bør utviklere av apper for iPhones og andre mobile enheter også legge til et ekstra lag med sikkerhetskontroller i teknologien deres, slik at de er mindre avhengige av OS-sikkerhet for beskyttelse, gitt feilene som ofte dukker opp, observerte Whaley.
"Vår erfaring viser at dette ikke skjer nok, noe som potensielt gjør banktjenester og andre kunder sårbare," sa han.
- Apple iPhone
- Apples sårbarheter
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- hacks
- Kaspersky
- malware
- Mcafee
- mobil sikkerhet
- nyheter
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- Trussel innlegg
- VPN
- Sikkerhetsproblemer
- nettside sikkerhet
- zephyrnet
