Af Eskil Sørensen, 11/04/23
Apple har udgivet sikkerhedsopdateringer, der retter to 0-dagssårbarheder, der pt udnyttes i angreb for at kompromittere iPhones, Macs og iPads.
Det rapporterede Bleeping Computer påskelørdag.
Apple skriver i sin advisory, at selskabet er bekendt med en rapport om, at sårbarhederne kan være blevet blevet aktivt udnyttet.
Den første sikkerhedsfejl (id: CVE-2023-28206, CVSS 7,5 ifølg Vuldb) er en ’IOSurfaceAccelerator-out-of-bounds-write’. Den kan medføre ødelæggelse af data data, nedbrud eller afvikling af kode. Dvs. at en udnyttelse giver angribere mulighed for at bruge en ondsindet udformet app til at afvikle vilkårlig kode med kernerettigheder på de angrebne enheder.
Den anden nul-dag (CVE-2023-28205, CVSS 6,0 ifølge Vuldb) er en WebKit-'use-after-free' sårbarhed. Denne fejl kan udnyttes, hvis et offer narres till at indlæse ondsindede websider, som angriberne kontrollerer. Det kan føre til afvikling af kode på kompromitterede systemer.
De to nul-dages sårbarheder blev rettet i iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 og Safari 16.4.1.
Apple oplyser, at listen over berørte enheder er ret omfattende, og den inkluderer:
iPhone 8 og nyere, iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere, iPad mini 5. generation og nyere, og Mac'er, der kører macOS Ventura.
CISA har i forbindelse med opdateringerne sat sårbarhederne på sin KEV-liste med deadline den første maj.