Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Apple-lappar utnyttjade aktivt säkerhetsfel i iOS, iPadOS

Apple-lappar utnyttjade aktivt säkerhetsfel i iOS, iPadOS

Tisdagen den 26 januari släppte Apple iOS och iPadOS version 14.4, som adresserar minst tre nolldagars sårbarheter som aktivt har utnyttjats i naturen, samt uppdateringar för watchOS och tvOS. Här är en kort översikt över säkerhetsfel och vad Apple har gjort för att åtgärda dem.

WebKit-buggarna

Två av de tre nolldagarsfelen adresserades i WebKit – Apples sidrenderingsmotor, som används av Apples Safari-webbläsare och många delar av Apples operativsystem.

Apple säger att på grund av dessa dubbla WebKit-buggar, ”En fjärranfallare kan orsaka godtycklig kodkörning. Apple är medveten om en rapport om att denna fråga kan ha använts aktivt.”Företaget säger att det åtgärdade problemet genom att ta itu med ett“ logiskt problem […] med förbättrade begränsningar. ”

Att läsa mellan raderna låter som om offrets iPhone eller iPad kunde ha äventyrats (dvs. hackats) eller utnyttjats av en angripare, helt enkelt genom att offret tittar på en sida eller öppnar ett e-postmeddelande som skapats eller modifierats av en angripare. I synnerhet behöver denna typ av attack inte nödvändigtvis kräva att offret klickar på en länk inom den teoretiska sidan eller e-posten.

Kärnfelet

kärnfel (majsväve på en majskärna)Apple har också åtgärdat en allvarlig brist i kärnan, kärnkomponenten i Apples operativsystem.

Enligt företaget, ”Ett skadligt program kan kanske höja behörigheterna. Apple är medveten om en rapport om att denna fråga kan ha använts aktivt.

När det gäller fixen säger Apple att: “Ett tävlingsvillkor åtgärdades med förbättrad låsning.”

A tävlingsvillkor är ett scenario där en uppgift eller procedur kan göras i rätt ordning. Rasförhållanden kan ibland göra det möjligt för en angripare att göra saker som de inte skulle kunna göra under normala omständigheter.

A privilegiehöjning (eller privilegier eskalering) sårbarhet möjliggör attacker som normalt bara skulle vara möjliga av någon med administratörs- eller rootbehörigheter. Sådana sårbarheter kan göra det möjligt att ta bort attacker som kanske inte är möjliga under normala förhållanden, eller de kan göra det möjligt för attacker att göra mer skada.

Detta kärnfel påverkar inte bara iOS och iPadOS. Samma kärnfel lappades också i tvOS 14.4 och watchOS 7.3, som båda släpptes samtidigt med iOS- och iPadOS-uppdateringarna på tisdag.

Var är macOS-uppdateringarna?

Finder-ikon macOS Big Sur med sorgligt ansikteIntressant nog har Apple ännu inte släppt motsvarande macOS-uppdateringar för Big Sur (macOS 11) eller de två tidigare Mac-operativsystemen, macOS Catalina (10.15) och macOS Mojave (10.14).

Apple släpper vanligtvis macOS-uppdateringar samtidigt iOS och andra operativsystemuppdateringar. Ibland emellertid är det brådskande med en in-the-wild utnyttjande av teckningsoptioner som släpper ut några lappar innan alla är redo att släppas.

Det verkar vara fallet här. På måndag släppte Apple den andra släppkandidaten för macOS 11.2, så förmodligen kommer macOS-uppdateringarna snart.

Uppdatering: Apple lanserade en tredje release-kandidat för macOS 11.2 torsdagen den 28 januari och hade inte släppt den slutliga versionen till allmänheten före fredagen. Detta verkar tyda på att vi kanske inte ser nästa macOS-release förrän nästa tisdag 2 februari eller kanske senare.

Andra buggar lappade, men ännu inte meddelade

Längst ner på varje sida som visar iOS 14.4 / iPadOS 14.4, tvOS 14.4 och watchOS 7.3 säkerhetsuppdateringsinformation, noterade Apple i kursiv stil, “Ytterligare information tillgänglig snart.

När Apple släpper säkerhetsuppdateringar för operativsystem som är synkroniserade med varandra, håller företaget ofta tillbaka några detaljer tills de återstående operativsystemen har lagts. Detta kan särskilt vara sant om avslöjande av vissa detaljer kan leda till att angripare gissar på hur man utnyttjar operativsystemet för vilka patchar ännu inte är tillgängliga.

Det finns en god chans att Apple släpper macOS Big Sur 11.2 – och förmodligen bara säkerhetsuppdateringar för Catalina och Mojave – någon gång nästa vecka, så håll ett öga på dessa uppdateringar.

Vi täcker alla macOS-specifika säkerhetsfel, liksom alla säkerhetsfel i den här veckans OS-utgåvor som Apple ännu inte har berättat om, här på The Mac Security Blog.

Hur kan jag lära mig mer?

På veckans avsnitt av Intego Mac PodcastIntegos experter diskuterar dessa nya sårbarheter och mycket mer. Var noga med att prenumerera så att du aldrig missar det senaste avsnittet!

Prenumerera också på vår e-post nyhetsbrev och håll ett öga här Mac-säkerhetsbloggen för uppdateringar.

Och se till att du följer Intego på dina favoritkanaler för sociala medier och media: Facebook, Instagram, Twitter och YouTube (klicka på 🔔 för att få ett meddelande om nya videor).

Om Joshua Long

Joshua Long (@theJoshMeister), Integos Chief Security Analyst, är en känd säkerhetsforskare, författare och talare. Josh har en magisterexamen i IT-koncentration inom Internetsäkerhet och har tagit doktorsexamen i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har genomfört cybersäkerhetsforskning i mer än 20 år, som ofta har presenterats av stora nyhetsbutiker världen över. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Det här inlägget postades i Säkerhet & Sekretess, Säkerhetsnyheter och taggade Säkerhetsuppdateringar. Bokmärk permalänken.