Apple

Nye WebKit zero-day brugt til at hacke iPhones og Macs

Apple har frigivet nødsikkerhedsopdateringer for at adressere en ny Zero-Days sårbarhed, der bruges i angreb til at hacke iPhones, iPads og Mac’er.

Den i dag patchede Zero-Days spores som CVE-2023-23529 og er et WebKit-forvirringsproblem, der kan udnyttes til at udløse OS-nedbrud og få kodeudførelse på kompromitterede enheder.

Vellykket udnyttelse gør det muligt for angribere at udføre vilkårlig kode på enheder, der kører sårbare iOS-, iPadOS- og macOS-versioner efter åbning af en ondsindet webside (fejlen påvirker også Safari 16.3.1 på macOS Big Sur og Monterey).

“Behandling af skadeligt webindhold kan føre til vilkårlig kodeudførelse. Apple er opmærksom på en rapport om, at dette problem kan være blevet udnyttet aktivt,” sagde Apple, da han beskrev nul-dagen.

“Vi vil gerne anerkende The Citizen Lab på University of Toronto’s Munk School for deres hjælp.”

Apple adresserede CVE-2023-23529 med forbedrede kontroller i iOS 16.3.1, iPadOS 16.3.1 og macOS Ventura 13.2.1.

Den komplette liste over påvirkede enheder er ret omfattende, da fejlen påvirker ældre og nyere modeller, og den inkluderer:

iPhone 8 og nyere

iPad Pro (alle modeller), iPad Air 3. generation og nyere, iPad 5. generation og nyere og iPad mini 5. generation og nyere modeller samt iPad mini

Mac-computere, der kører macOS Ventura

I dag lappede Apple også en kernebrug efter gratis fejl (CVE-2023-23514) rapporteret af Xinru Chi fra Pangu Lab og Ned Williamson fra Google Project Zero, der kunne føre til vilkårlig kode med kernerettigheder på Mac’er og iPhones.

Første nul-dages patched af Apple i år

Selvom virksomheden afslørede, at den er opmærksom på in-the-wild udnyttelsesrapporter, har den endnu ikke offentliggjort oplysninger om disse angreb.

Ved at begrænse adgangen til disse oplysninger ønsker Apple sandsynligvis at give så mange brugere som muligt mulighed for at opdatere deres enheder, før flere angribere opfanger nul-dages detaljer for at udvikle og implementere deres egne brugerdefinerede udnyttelser rettet mod sårbare iPhones, iPads og Mac’er.

Selvom denne Zero-Days fejl sandsynligvis kun blev brugt i målrettede angreb, anbefales det stærkt at installere dagens nødopdateringer så hurtigt som muligt for at blokere potentielle angrebsforsøg.

I sidste måned backporterede Apple også sikkerhedsrettelser til en eksternt udnyttelig Zero-Days fejl opdaget af Clément Lecigne fra Googles Threat Analysis Group til ældre iPhones og iPads.

Kilde: BleepingComputer

Foto: Pexels

Scroll to Top