Apple uppmanar macOS-, iPhone- och iPad-användare att omedelbart installera respektive uppdatering denna vecka som inkluderar korrigeringar för två nolldagar under aktiv attack. Patcharna är för sårbarheter som gör att angripare kan exekvera godtycklig kod och i slutändan ta över enheter.
Patchar är tillgängliga för enheter som körs iOS 15.6.1 och macOS Monterey 12.5.1. Patchar åtgärdar två brister, som i princip påverkar alla Apple-enheter som kan köra antingen iOS 15 eller Monterey-versionen av sitt skrivbordsoperativsystem, enligt säkerhetsuppdateringar som släpptes av Apple onsdag.
En av bristerna är en kärnfel (CVE-2022-32894), som finns både i iOS och macOS. Enligt Apple är det ett "skrivproblem utanför gränserna [som] åtgärdades med förbättrad gränskontroll."
Sårbarheten tillåter en applikation att exekvera godtycklig kod med kärnprivilegier, enligt Apple, som på vanligt vagt sätt sa att det finns en rapport om att den "kan ha exploateras aktivt."
Det andra felet identifieras som en WebKit-bugg (spårad som CVE-2022-32893), vilket är ett skrivproblem utanför gränserna som Apple åtgärdade med förbättrad gränskontroll. Felet möjliggör bearbetning av skadligt skapat webbinnehåll som kan leda till kodexekvering, och har också rapporterats vara under aktiv exploatering, enligt Apple. WebKit är webbläsarmotorn som driver Safari och alla andra webbläsare från tredje part som fungerar på iOS.
Pegasus-liknande scenario
Upptäckten av båda bristerna, om vilka lite mer än Apples avslöjande är känt, krediterades en anonym forskare.
En expert uttryckte oro för att de senaste Apple-bristerna "effektivt skulle kunna ge angripare full tillgång till enheten", de kan skapa en Pegasus-liknande scenario som liknar det där nationalstatliga APT:er sprängde mål med spionprogram gjord av israeliska NSO Group genom att utnyttja en iPhone-sårbarhet.
"För de flesta: uppdatera programvaran i slutet av dagen," Tweeted Rachel Tobac, VD för SocialProof Security, angående nolldagarna. "Om hotmodellen är förhöjd (journalist, aktivist, måltavla av nationalstater, etc): uppdatera nu," varnade Tobac.
Noll dagar i överflöd
Bristerna avslöjades tillsammans med andra nyheter från Google denna vecka att det lappade sin femte nolldag hittills i år för sin Chrome-webbläsare, en godtycklig kodexekveringsbugg under aktiv attack.
Nyheten om att ännu fler sårbarheter från de främsta teknikleverantörerna översvämmats av hotaktörer visar att trots de bästa ansträngningarna från högklassiga teknikföretag för att ta itu med ständiga säkerhetsproblem i sin mjukvara, är det fortfarande en kamp i uppförsbacke, konstaterade Andrew Whaley, senior teknisk direktör på Promon, ett norskt appsäkerhetsföretag.
Bristerna i iOS är särskilt oroande, med tanke på hur många iPhones finns och användarnas fulla beroende av mobila enheter för deras dagliga liv, sa han. Emellertid ligger ansvaret inte bara på leverantörer att skydda dessa enheter utan också för användare att vara mer medvetna om befintliga hot, observerade Whaley.
"Medan vi alla förlitar oss på våra mobila enheter är de inte osårbara, och som användare måste vi upprätthålla vår bevakning precis som vi gör på operativsystem för stationära datorer," sa han i ett mejl till Threatpost.
Samtidigt bör utvecklare av appar för iPhones och andra mobila enheter också lägga till ett extra lager av säkerhetskontroller i sin teknik så att de är mindre beroende av OS-säkerhet för skydd, med tanke på de brister som ofta dyker upp, observerade Whaley.
"Vår erfarenhet visar att detta inte händer tillräckligt, vilket potentiellt gör banker och andra kunder sårbara", sa han.
- Apple iPhone
- Apples sårbarheter
- blockchain
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- säkerhetstjänsten
- digitala plånböcker
- brandvägg
- hacka
- kaspersky
- malware
- Mcafee
- mobil säkerhet
- nyheter
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- Hot post
- VPN
- sårbarheter
- webbplats säkerhet
- zephyrnet
