Apple patcher dobbelt nul-dag i browser og kerne – opdater nu!

Apple har netop udsendt en nødopdatering til to nul-dages fejl, der tilsyneladende er aktivt udnyttes.

Der er et eksternt kodeudførelseshul (RCE) dubbet CVE-20220-32893 i Apples HTML-gengivelsessoftware (WebKit), ved hjælp af hvilken en booby-fanget webside kan narre iPhones, iPads og Macs til at køre uautoriseret og upålidelig softwarekode.

Kort sagt kan en cyberkriminel implantere malware på din enhed, selvom alt hvad du gjorde var at se en ellers uskyldig webside.

Husk, at WebKit er den del af Apples browsermotor, der sidder under absolut al webgengivelsessoftware på Apples mobile enheder.

Mac'er kan køre versioner af Chrome, Chromium, Edge, Firefox og andre "ikke-Safari"-browsere med alternative HTML- og JavaScript-motorer (Chromium bruger f.eks. Blink , V8; Firefox er baseret på Gecko , Rhino).

Men på iOS og iPadOS insisterer Apples App Store-regler på, at enhver software, der tilbyder enhver form for web-browsing-funktionalitet skal være baseret på WebKit, herunder browsere som Chrome, Firefox og Edge, der ikke er afhængige af Apples browserkode på andre platforme, hvor du kan bruge dem.

Derudover kan alle Mac- og iDevice-apps med popup-vinduer som f.eks Hjælp or Om skærme bruger HTML som deres "visningssprog" - en programmatisk bekvemmelighed, der forståeligt nok er populær blandt udviklere.

Apps, der gør dette, bruger næsten helt sikkert Apples Webvisning systemfunktioner, og WebView er baseret direkte oven på WebKit, så det er derfor påvirket af eventuelle sårbarheder i WebKit.

CVE-2022-32893 sårbarhed påvirker derfor potentielt mange flere apps og systemkomponenter end blot Apples egen Safari-browser, så blot at styre uden om Safari kan ikke betragtes som en løsning, selv på Mac'er, hvor ikke-WebKit-browsere er tilladt.

Så er der en anden nul-dag

Der er også et kernekodeudførelseshul dubbet CVE-2022-32894, hvorved en angriber, der allerede har fået et grundlæggende fodfæste på din Apple-enhed ved at udnytte den ovennævnte WebKit-fejl...

... kunne springe fra kun at kontrollere en enkelt app på din enhed til at overtage selve styresystemkernen og dermed erhverve den slags "administrative superkræfter", der normalt er forbeholdt Apple selv.

Dette betyder næsten helt sikkert, at angriberen kunne:

• Spion på alle apps, der kører i øjeblikket
• Download og start yderligere apps uden at gå gennem App Store
• Få adgang til næsten alle data på enheden
• Skift systemsikkerhedsindstillinger
• Hent din placering
• Tag skærmbilleder
• Brug kameraerne i enheden
• Aktivér mikrofonen
• Kopier tekstbeskeder
• Spor din browsing...

…og meget mere.

Apple har ikke sagt, hvordan disse fejl blev fundet (bortset fra kredit "en anonym forsker"), har ikke sagt, hvor i verden de er blevet udnyttet, og har ikke sagt, hvem der bruger dem eller til hvilket formål.

Løst sagt giver en fungerende WebKit RCE efterfulgt af en fungerende kerneudnyttelse, som det ses her, typisk al den funktionalitet, der er nødvendig for at montere en enhedsjailbreak (derfor bevidst omgå næsten alle Apple-pålagte sikkerhedsbegrænsninger), eller til installere baggrundsspyware og holde dig under omfattende overvågning.

Hvad skal jeg gøre?

Patch med det samme!

I skrivende stund har Apple udgivet vejledninger til iPad OS 15 og iOS 15, som begge får opdaterede versionsnumre af 15.6.1, Og macOS Monterey 12, som får et opdateret versionsnummer på 12.5.2.

• På din iPhone eller iPad: Indstillinger > Generelt > softwareopdatering
• På din Mac: Apples menu > Om denne Mac > Software opdatering…

Der er også en opdatering, der tager WATCH til version 8.7.1, men den opdatering viser ingen CVE-numre og har ikke en egen sikkerhedsadvisering.

Der er ingen ord om, hvorvidt de ældre understøttede versioner af macOS (Big Sur og Catalina) er berørt, men endnu ikke har tilgængelige opdateringer, eller om tvOS er sårbart, men endnu ikke rettet.

For yderligere information, hold øje med denne side, og hold øje med Apples officielle Security Bulletin-portalside, HT201222.