Der er tale om fundet af flere 0-dagssårbarheder der er rettet i macOS og iOS hvorfor Apple i denne uge har udrullet nødpatches, der adresserer et par allerede udnyttede 0-dages sårbarheder på macOS- og iOS-platformene. Det skriver bl.a. Security Week og Apple.
Apple har bekræftet disse nemt udnyttelige sikkerhedshuller, som er fejl ved kodeudførelse i fuldt patchede iPhone-, iPad- og macOS-enheder.
NSO iPhone Spyware hullet er dermed er muligvis lukket
Bemærk at en anden 0-dagssårbarhederne jf. flere medier i dag, har været brugt til at af NSO’s iPhone-spyware. Der er ingen detaljer om udnyttelsen eller givet oplysninger om IoC’er (indicators of compromise), der kan bruges til at finde tegn på infektioner.
Rettelserne bliver sendt ud via automatisk opdatering, hvorved de nye versionnumre er hhv. macOS Monterey 12.5.1, iOS 15.6.1 og iPadOS 15.6.1.
En af sårbarhederne (CVE-2022-32893, CVSS-score på 7,0) er et out-of-bounds-skriveproblem i WebKit, der kan gøre det muligt for en trusselaktør at afvikle kode eksternt på en sårbar enhed. En out-of-bounds skrivesårbarhed er, når en angriber kan levere input til et program, der får det til at gå ned eller i værste fald gøre fjernafvikling af kode muligt.
Links:
https://www.securityweek.com/apple-patches-new-macos-ios-zero-days
https://support.apple.com/en-us/HT213414
Kilde: ICARE, APPLE og Security Week
Fotokredit: Kim Lester, APPLE