Af Eskil Sørensen, 01/09/22
0-dagssårbarhed i ældre iPhones under aktiv udnyttelse får Apple til at udsende sikkerhedsopdatering.
Det skriver Bleeping Computer.
Fejlen har id’et CVE-2022-3289 og er af NVD blevet tildelt en score på 7,8 på CVSS-skalaen. Sårbarheden er en såkaldt out-of-bounds write sårbarhed in WebKit. Webkit er en browsermotor, som anvendes af Safari og andre apps til at få adgang til internettet. WebKit-fejl findes i softwarelaget under Safari.
Det betyder, som Naked Security beskriver det, at Apples egen Safari-browser ikke er den eneste app, der er i fare for denne sårbarhed. Alle browsere på iOS, Firefox, Edge, Chrome osv. bruger WebKit - det er et Apple-krav, hvis man vil have sin app i App Store). Dvs. at alle apps, der viser webindhold til andre formål end generel browsing, fx på hjælpesider, About-skærm mv. er også i fare, fordi den vil bruge WebKit. Det betyder også, at det ikke er nok at undgå Safari og holde sig til en tredjepartsbrowser. Man skal med andre ord opdatere sin gamle iPhone for at holde sig sikker. Seneste opdatering til disse ældre versioner af iPhone kom ifølge Naked Security for et år siden.
Afvikling af vilkårlig kode
Ved succesfuld udnyttelse kan angribere få mulighed for eksternt at afvikle vilkårlig kode og få et offer til at besøge et ondsindet websted. Apple oplyser ifm med offentliggørelsen, at man er opmærksom på rapporter om, at problemet kan være under aktiv udnyttelse.
Sikkerhedsopdateringerne gælder for iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 og iPod touch (6. generation), som alle kører iOS 12.5.6.
Sårbarheden er den samme, som Apple rettede til macOS Monterey og iPhone/iPad-enheder den 17. august og til Safari den 18. august. Da disse rettelser blev kendt, blev de tilføjet CISAs katalog over aktivt udnyttede sårbarheder.