Af Eskil Sørensen, 04/05/21
Apple har frigivet sikkerhedsopdateringer, der fjerner to aktivt udnyttede iOS 0-dagssårbarheder i deres Webkit engine, som bliver brugt af hackere til at angribe iPhones, iPads, iPods, macOS og Apple Watch-enheder. Apple er opmærksom på at dette problem muligvis er blevet udnyttet aktivt. Det skriver Cyberscoop.
Webkit er Apples browsergengivelsesengine, som bruges af alle mobile webbrowsere i iOS og andre applikationer, der gengiver HTML, såsom Apple Mail og App Store.
Disse sårbarheder er nummereret CVE-2021-30665 og CVE-2021-30663 og begge tillader vilkårlig remote code execution (RCE) på sårbare enheder ved blot at besøge et ondsindet websted.
RCE-sårbarheder betragtes som de farligste, da de tillader angribere at målrette deres angreb mod sårbare enheder og udføre kommandoer på dem eksternt.
Listen over berørte enheder inkluderer:
- iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad 5. generation og senere, iPad mini 4 og nyere og iPod touch (7. generation)
- macOS Big Sur
- Apple Watch Series 3 og nyere
0-dagssårbarhederne blev behandlet af Apple i opdateringerne til iOS 14.5.1, iOS 12.5.3, macOS Big Sur 11.3.1 og watchOS 7.4.1.
Denne opdatering løser også en fejl, der forhindrede brugere i at se meddelelser om App Tracking Transparency i applikationer.
Links:
https://www.cyberscoop.com/apple-security-update-webkit-flaws-iphone-ipad-ipod/