Af Eskil Sørensen, 14/09/21
Apple har udsendt sikkerhedsopdateringer, der retter to 0-dagsfejl, der pt. er under aktiv udnyttelse til angreb mod iPhone, iPad, Macs og Apple Watch. Det skriver en række medier, herunder Bleeping Computer og Cyberscoop ligesom CISA også har publiceret en meddelelse om det.
Den ene af rettelserne beskytter mod en sårbarhed (CVE-2021-30860), der muliggør en såkaldt zero-click udnyttelse, som bruger iMessage til at afvikle ondsindet kode – hvilket ifølge Cyberscoop gør det muligt at installere spyware. Konkret ødelægger en manipuleret gif Apples billedgengivelsesbibliotek, hvorefter spywaren afvikles. Ifølge researchere ligner spywaren den israelske NSO Groups Pegasus-spyware. Udnyttelsen har fået navnet "FORCEDENTRY.", som kan oversættes med ”påtvunget indgang’.
Den anden sårbarhed med id’et CVE-2021-30858 er en WebKit use-after-free sårbarhed, der gør det muligt for angribere hackere at oprette ondsindet udformet indhold på websider. Disse kan afvikle kode på enhederne, når de besøges via iPhones og macOS.
Opdateringerne retter fejl i iPhones, iPads, Mac, Apple Watches og Safari. Den nyeste iOS til iPhone og iPad har med opdateringerne fremover version 14.8, mens Safari har version 14.1.2 og Watch OS har version 7.6.2. MacOS nyeste version hedder 11.6.
Apple opfordrer brugerne til at installere opdateringerne.
Links:
https://www.cyberscoop.com/apple-zero-click-exploit-webkit-iphone /