Apple har stille og roligt udrullet flere opdateringer til iOS for at rette en aktivt udnyttet nul-dages sikkerhedssårbarhed, som det korrigerede tidligere på måneden på nyere enheder. Sårbarheden, der findes i WebKit, kan tillade angribere at skabe ondsindet webindhold, der tillader fjernudførelse af kode (RCE) på en brugers enhed.
En opdatering udgivet onsdag, iOS 12.5.6, gælder for følgende modeller: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 og iPod touch 6. generation.
Den pågældende fejl (CVE-2022-32893) beskrives af Apple som et skriveproblem uden for grænserne i WebKit. Det blev behandlet i patchen med forbedret grænsekontrol. Apple erkendte, at fejlen er under aktiv udnyttelse, og det opfordrer brugere af berørte enheder til at opdatere med det samme.
Apple havde allerede rettet sårbarheden for nogle enheder – sammen med en kernefejl sporet som CVE-2022-32894 – tidligere i august i iOS 15.6.1. Det er en opdatering der dækkede iPhone 6S og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad 5. generation og nyere, iPad mini 4 og nyere, og iPod touch (7. generation).
Den seneste runde af patches ser ud til at være Apple, der dækker alle sine baser ved at tilføje beskyttelse til iPhones, der kører ældre versioner af iOS, bemærkede sikkerhedsevangelisten Paul Ducklin.
"Vi gætter på, at Apple må have stødt på i det mindste nogle højprofilerede (eller højrisiko- eller begge dele) brugere af ældre telefoner, som blev kompromitteret på denne måde, og besluttede at skubbe beskyttelse ud for alle som en særlig forholdsregel, " han skrev i et indlæg på Sophos Naked Security-bloggen.
Den dobbelte dækning fra Apple til at rette fejlen i begge versioner af iOS skyldes ændringen i, hvilke versioner af platformen, der kører på hvilke iPhones, forklarede Ducklin.
Før Apple udgav iOS 13.1 og iPadOS 13.1, brugte iPhones og iPads det samme operativsystem, kaldet iOS for begge enheder, sagde han. Nu dækker iOS 12.x iPhone 6 og tidligere enheder, mens iOS 13.1 og nyere versioner kører på iPhone 6s og enheder udgivet efter.
Den anden nul-dages fejl, som Apple fiksede tidligere på måneden, CVE-2022-32894, var en kernesårbarhed, der kan give mulighed for overtagelse af hele enheden. Men mens iOS 13 var påvirket af den fejl - og dermed fik en patch til det i den tidligere opdatering - påvirker det ikke iOS 12, bemærkede Ducklin, "hvilket næsten helt sikkert undgår risikoen for totalt kompromittering af selve operativsystemet" på ældre enheder.
WebKit: En bred cyberangrebsoverflade
WebKit er browsermotoren, der driver Safari og alle andre tredjepartsbrowsere, der fungerer på iOS. Ved at udnytte CVE-2022-32893 kan en trusselaktør indbygge ondsindet indhold på et websted. Så, hvis nogen besøger webstedet fra en berørt iPhone, kan skuespilleren eksternt udføre malware på hans eller hendes enhed.
WebKit har generelt været en vedvarende torn i øjet på Apple, når det kommer til at udsætte brugere for sårbarheder, fordi det spreder sig ud over iPhones og andre Apple-enheder til andre browsere, der bruger det - inklusive Firefox, Edge og Chrome - og udsætter potentielt millioner af brugere i fare fra en given fejl.
"Husk, at WebKit-fejl findes, løst sagt, på softwarelaget under Safari, så Apples egen Safari-browser ikke er den eneste app, der er i fare for denne sårbarhed," bemærkede Ducklin.
Desuden kan enhver app, der viser webindhold på iOS til andre formål end generel browsing - såsom på sine hjælpesider, dens "Om" skærm eller endda i en indbygget "minibrowser" - bruger WebKit under motorhjelmen, tilføjede han.
"Med andre ord, bare at 'undgå Safari' og holde sig til en tredjepartsbrowser er ikke en passende løsning [for WebKit-fejl]," skrev Ducklin.
Apple under angreb
Mens både brugere og fagfolk traditionelt har betragtet Apples Mac- og iOS-platforme som mere sikre end Microsoft Windows - og dette har generelt været sandt af en række årsager - begynder skuden at vende, siger eksperter.
Faktisk viser et spirende trussellandskab mere interesse i at målrette mod mere allestedsnærværende webteknologier og ikke selve operativsystemet har udvidet målet på Apples ryg, iflg en trusselsrapport udgivet i januar, og selskabets defensive patching-strategi afspejler dette.
Apple har rettet mindst fire zero-day-fejl i år, hvor to patches til tidligere iOS- og macOS-sårbarheder kommer ind januar og en ind februar — sidstnævnte løste et andet aktivt udnyttet problem i WebKit.
Sidste år var der desuden 12 af 57 zero-day-trusler, som forskere fra Googles Project Zero spores var Apple-relaterede (dvs. mere end 20 %) med problemer, der påvirker macOS, iOS, iPadOS og WebKit.
