Apple løser ny nul-dags brug i angreb mod iPhones, Imac og Mac’er
Apple har udgivet sikkerhedsopdateringer for at løse zero-day-sårbarheder, der udnyttes i angreb rettet mod iPhones, Macs og iPads. Der er således tale om den anden nul-dages patched i dag er en ny kernefejl, der spores som CVE-2023-38606, der blev udnyttet i angreb rettet mod enheder, der kører ældre iOS-udgivelser.
Apple Webkit fejl
“Apple er opmærksom på en rapport om, at dette problem muligvis er blevet aktivt udnyttet,” sagde virksomheden i en rådgivning, der beskriver en WebKit-fejl, der spores som CVE-2023-37450, der blev behandlet i en ny runde af Rapid Security Response (RSR) opdateringer tidligere på måneden.
“Apple er opmærksom på en rapport om, at dette problem kan være blevet aktivt udnyttet mod versioner af iOS udgivet før iOS 15.7.1,” sagde virksomheden.
Angribere kunne udnytte det på ikke-patchede enheder til at ændre følsomme kernetilstande. Apple adresserede de to svagheder med forbedret kontrol og tilstandsstyring.
CVE-2023-38606 er en del af en nul-klik-udnyttelseskæde, der bruges til at implementere Triangulationsspyware på iPhones via iMessage-udnyttelser, ifølge Kaspersky GReATs ledende sikkerhedsforsker Boris Larin.
Virksomheden backporterede også sikkerhedsrettelser til en nul-dag (CVE-2023-32409) adresseret i maj til enheder, der kører tvOS 16.6 og watchOS 9.6.
Apple adresserede de tre nul-dage i macOS Ventura 13.5, iOS og iPadOS 16.6, tvOS 16.6, watchOS 9.6 og Safari 16.6 med forbedret grænsekontrol, inputvalidering og hukommelsesstyring.
Listen over enheder, der påvirkes af nul-dages, der er rettet i dag, er ret omfattende, og den inkluderer en bred vifte af iPhone- og iPad-modeller samt Mac’er, der kører macOS Big Sur, Monterey og Ventura.
Ellevte nul-dag udnyttet i angreb lappet i år
Apple der tidligere var mindre angrebet af hackere har siden starten af året har Apple lappet 11 nul-dages fejl, der udnyttes af angribere til at målrette mod enheder, der kører iOS, macOS, og iPadOS. Årsagen til at der er stor opmærksomhed på Apple produkter er, at ejerne anses for at være mere velhavende og også dem der kan finde på at eje kryptovaluta.
Tidligere på måneden udgav Apple out-of-band Rapid Security Response (RSR) opdateringer for at løse en fejl (CVE-2023-37450), der påvirker fuldt patchede iPhones, Macs og iPads. Virksomheden bekræftede senere, at RSR-opdateringerne brød webbrowsing på nogle websteder og frigav faste versioner af buggy-patches to dage senere.
Kilde: Apple & Bleebing Computer
Fotokredit: Apple