Af Eskil Sørensen, 27/01/22
Apple sendte sent onsdag en iOS-opdatering ud med rettelser til 11 dokumenterede sikkerhedsfejl. Det skriver Security Week og en række andre medier. Samtidig med opdateringen advarer Apple om, at en af sårbarhederne kan være blevet aktivt udnyttet.
Fejlen, der har id’et CVE-2022-22587, har fået en relativ høj score på CVSS-skalaen, nemlig 7.8.
Fejlen beskrives som et problem med memory coruption, hvilket muliggør, at et ondsindet program kan afvikle skadelig kode med rettigheder til kernen. Ud over den dokumenterede 0-dagssårbarhed adresserer den opdaterede version, som har fået versionsnummeret iOS 15.3 farlige kodeudførelsesfejl i ColorSync, kerne og WebKit-gengivelsesmotoren. Opdateringen dækker desuden eskalering af privilegier, data leak og denial-of-service-fejl i flere iOS-komponenter.
Apple har også udsendt en sikkerhedsopdatering til macOS Catalina for at løse flere sikkerhedsproblemer og en Safari-browserpatch, der dækker flere WebKit-sikkerhedsfejl
Links:
https://www.bleepingcomputer.com/news/apple/apple-fixes-new-zero-day-exploited-to-hack-macos-ios-devices
https://securityaffairs.co/wordpress/127240/hacking/apple-fixed-two-zero-day-2022.html
https://www.securityweek.com/apple-patches-actively-exploited-ios-security-flaw