Apple har släppt en serie säkerhetsuppdateringar för att korrigera två kritiska sårbarheter som företaget säger “aktivt utnyttjades” i det vilda.
Följande uppdateringar släpptes måndagen den 13 september 2021:
- iOS 14.8
- iPadOS 14.8
- macOS Big Sur 11.6
- Säkerhetsuppdatering 2021-005 Catalina
- Safari 14.1.2 (byggd 14611.3.10.1.7 för Mojave och 15611.3.10.1.7 för Catalina)
Var och en av dessa uppdateringar korrigerar ett eller båda av följande problem:
Komponent: CoreGraphics
Påverkan: Att bearbeta en uppsåtligt skapad PDF kan leda till exekvering av godtycklig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett heltalsspill åtgärdades med förbättrad indatavalidering.
Sårbarhets-ID: CVE-2021-30860, rapporterad av The Citizen Lab
Komponent: WebKit
Påverkan: Bearbetning av uppsåtligt webbinnehåll kan leda till exekvering av godtycklig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: En användning efter free problemet åtgärdades med förbättrad minneshantering.
Sårbarhets-ID: CVE-2021-30858, rapporterad av en anonym forskare
Vart och ett av Apples operativsystem fick båda uppdateringarna, med två undantag:
- CVE-2021-30860 var uppenbarligen inte patchad för macOS Mojave
- CVE-2021-30858 var uppenbarligen inte patchad i watchOS 7.6.2
Det är oklart om dessa sårbarheter helt enkelt inte gick att exploatera på dessa operativsystem, eller om det fanns någon annan anledning till att de inte korrigerades. Vi har kontaktat Apple för förtydligande och kommer att uppdatera den här artikeln om Apple svarar.
Felet som inte korrigerades för Mojave är enligt uppgift en som utnyttjades av Pegasus spionprogram på iOS, som vi rapporterade om i juli:
Pegasus Spyware hackar iPhones från framstående individer
Apples nästa versioner av sina flaggskeppsoperativsystem – iOS 15, iPadOS 15 och macOS Monterey – kommer i höst.
Apple tillkännagav tyst lanseringsdatumet för iOS 15 och iPadOS 15, måndagen den 20 september, strax efter Apple-evenemanget “California Streaming” den 14 september som vi tog upp här på Mac Security Blog. Apple har dock ännu inte meddelat exakt när macOS Monterey kommer att släppas.
Är äldre versioner av macOS skyddade? Hur är det med iOS?
Apple släpper vanligtvis bara säkerhetsuppdateringar för den nuvarande och två tidigare versioner av Mac-operativsystemet. Det betyder att macOS Big Sur (alias macOS 11), macOS Catalina (macOS 10.15) och macOS Mojave (macOS 10.14) för närvarande stöds. Alla äldre versioner får inte längre några som helst säkerhetsuppdateringar.
För optimal säkerhet och integritet är det bäst att stanna kvar på den senaste versionen av macOS som din Mac stöder och använda pålitliga skyddsverktyg – som Integos Mac Premium Bundle X9 – för att hålla din Mac så säker som möjligt mot virus och cyberhot.
När det gäller iOS (och iPadOS) släpper Apple för närvarande säkerhetsuppdateringar för den aktuella versionen, med enstaka uppdateringar för en tidigare version. För närvarande innebär detta att iOS 14 och iPadOS 14 får alla säkerhetsuppdateringar, och iOS 12 (den senaste versionen som kommer att köras på äldre mobila enheter) ibland får uppdateringar för att lösa vissa – men inte alla – sårbarheter.
Efter att iOS 15 och iPadOS 15 släpps nästa måndag har Apple åtagit sig att fortsätta släppa uppdateringar för iOS 14 och iPadOS 14. Detta markerar en avvikelse från Apples tidigare praxis, särskilt eftersom versionerna 14 och 15 stöder samma hårdvara. Det återstår dock att se om det kommer att finnas ett liknande förhållande som för närvarande finns mellan 14 och 12 (där den äldre versionen inte tar emot patchar för varje säkerhetsbrist). Det återstår också att se om Apple kommer att fortsätta att släppa enstaka iOS 12-uppdateringar för att erbjuda fortsatt stöd för äldre hårdvara som inte kan köra den senaste iOS eller iPadOS.
Hur kan jag lära mig mer?
Varje vecka på Intego Mac Podcast, Integos Mac-säkerhetsexperter diskuterar de senaste Apple-nyheterna, säkerhets- och integritetsberättelser och ger praktiska råd om hur du får ut det mesta av dina Apple-enheter. Var säker på att följ podden för att se till att du inte missar några avsnitt. Vi kommer att täcka det senaste Apple-evenemanget där också.
Se till att prenumerera på vår e-post nyhetsbrev och håll ett öga här Mac-säkerhetsbloggen för att hålla dig uppdaterad om de viktigaste nyheterna om Apple, säkerhet och integritet. Följ Intego på dina favoritkanaler för sociala medier för att säkerställa att du aldrig missar en uppdatering: Twitter, Facebook, LinkedIn, Instagram och YouTube.
Om Joshua Long
Joshua Long (@theJoshMeister), Integos chefssäkerhetsanalytiker, är en känd säkerhetsforskare, skribent och offentlig talare. Josh har en magisterexamen i IT med fokus på Internetsäkerhet och har tagit kurser på doktorsnivå i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har bedrivit cybersäkerhetsforskning i mer än 20 år, vilket ofta har presenterats av stora nyhetskanaler över hela världen. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Det här inlägget postades i Apple, Säkerhetsnyheter och märkt Pegasus, säkerhet. Bokmärk permalänken.