Af Eskil Sørensen, 12/12/23
Apple har udsendt opdateringer, der adresserer to aktivt udnyttede 0-dagssårbarheder i iPhones og nogle Apple Watch- og Apple TV-modeller. Samtidig er der også rettet 0-dagssårbarheder i nyeste modeller.
Det skriver Bleeping Computer.
Hvad de aktivt udnyttede sårbarheder angår, drejer sig om versioner af iOS før iOS 16.7.1 som er påvirket af hhv CVE-2023-42916 og CVE-2023-42917. De to sårbarheder er opdaget i WebKit-browsermotoren og bruges af Safari-browseren på tværs af dets platforme (f.eks. macOS, iOS, iPadOS). Sårbarhederne kan lade angribere få adgang til følsomme data og eksekvere vilkårlig kode ved hjælp af ondsindet udformede websider, som er designet til at udnytte 'out-of-bounds' og ’memory corruption’-fejl på ikke-patchede enheder.
Alvoren af de to sårbarheder understreges af, at CISA har sat dem på listen over kendte udnyttede sårbarheder og har beordret dem håndteret senest den 25. december.
Også rettelser til de nyeste modeller
Apple har også udrullet iOS- og iPadOS-opdateringer til nyere versioner, så de nu hedder hhv. iOS 17.2 og iPadOS 17.2. Heri er der ifølge Security Week rettet mindst 11 dokumenterede sikkerhedsfejl, hvoraf nogle af dem kan føre vilkårlig kodeudførelse med sig. iOS 17.2-udrulningen adresserer ligeledes en kodeudførelsesfejl i WebKit-gengivelsesmotoren og et memoryproblem, der gør det muligt for apps ’at bryde ud af enhedens sandkasse’.
Links:
https://www.securityweek.com/apple-ships-ios-17-2-with-urgent-security-patches/