Apple hat stillschweigend weitere Updates für iOS bereitgestellt, um eine aktiv ausgenutzte Zero-Day-Sicherheitslücke zu beheben, die Anfang dieses Monats in neueren Geräten gepatcht wurde. Die in WebKit gefundene Schwachstelle kann es Angreifern ermöglichen, schädliche Webinhalte zu erstellen, die Remotecodeausführung (RCE) auf dem Gerät eines Benutzers ermöglichen.
Ein Update Das am Mittwoch veröffentlichte iOS 12.5.6 gilt für die folgenden Modelle: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 und iPod touch der 6. Generation.
Der besagte Fehler (CVE-2022-32893) wird von Apple als ein außerhalb der Grenzen liegendes Schreibproblem in WebKit beschrieben. Es wurde im Patch durch eine verbesserte Grenzüberprüfung behoben. Apple hat zugegeben, dass der Fehler aktiv ausgenutzt wird, und fordert Benutzer betroffener Geräte dringend auf, sofort ein Update durchzuführen.
Apple hatte die Schwachstelle bereits für einige Geräte gepatcht – neben einem Kernel-Fehler, der als CVE-2022-32894 verfolgt wird – früher im August unter iOS 15.6.1. Das ist ein Update die iPhone 6S und höher, iPad Pro (alle Modelle), iPad Air 2 und höher, iPad 5. Generation und höher, iPad mini 4 und höher und iPod touch (7. Generation) umfasste.
Die neueste Runde von Patches scheint Apple alle seine Grundlagen abzudecken, indem es Schutz für iPhones mit älteren Versionen von iOS hinzufügt, bemerkte der Sicherheitsevangelist Paul Ducklin.
„Wir vermuten, dass Apple auf mindestens einige hochkarätige (oder risikoreiche oder beides) Benutzer älterer Telefone gestoßen sein muss, die auf diese Weise kompromittiert wurden, und beschlossen hat, den Schutz für alle als besondere Vorsichtsmaßnahme herauszuschieben. " er schrieb in einem Beitrag im Sophos Naked Security-Blog.
Die doppelte Abdeckung durch Apple zur Behebung des Fehlers in beiden iOS-Versionen sei auf die Änderung zurückzuführen, welche Versionen der Plattform auf welchen iPhones laufen, erklärte Ducklin.
Bevor Apple iOS 13.1 und iPadOS 13.1 veröffentlichte, verwendeten iPhones und iPads dasselbe Betriebssystem, das für beide Geräte als iOS bezeichnet wird, sagte er. Jetzt deckt iOS 12.x iPhone 6 und frühere Geräte ab, während iOS 13.1 und spätere Versionen auf iPhone 6s und später veröffentlichten Geräten laufen.
Der andere Zero-Day-Fehler, den Apple Anfang dieses Monats gepatcht hat, CVE-2022-32894, war eine Kernel-Schwachstelle, die die Übernahme des gesamten Geräts ermöglichen kann. Aber während iOS 13 von diesem Fehler betroffen war – und daher im früheren Update einen Patch dafür erhielt – hat er keine Auswirkungen auf iOS 12, stellte Ducklin fest, „was bei älteren Versionen mit ziemlicher Sicherheit das Risiko einer vollständigen Kompromittierung des Betriebssystems selbst vermeidet“. Geräte.
WebKit: Eine breite Cyberangriffsfläche
WebKit ist die Browser-Engine, die Safari und alle anderen Browser von Drittanbietern antreibt, die auf iOS funktionieren. Durch die Ausnutzung von CVE-2022-32893 kann ein Angreifer schädliche Inhalte in eine Website einbauen. Wenn dann jemand die Website von einem betroffenen iPhone aus besucht, kann der Akteur aus der Ferne Malware auf seinem Gerät ausführen.
WebKit ist Apple im Allgemeinen ein hartnäckiger Dorn im Auge, wenn es darum geht, Benutzer Schwachstellen auszusetzen, da es sich über iPhones und andere Apple-Geräte hinaus auf andere Browser ausbreitet, die es verwenden – einschließlich Firefox, Edge und Chrome – und potenziell Millionen von Benutzern gefährdet ein gegebener Fehler.
„Denken Sie daran, dass WebKit-Bugs, grob gesagt, auf der Softwareebene unterhalb von Safari existieren, sodass Apples eigener Safari-Browser nicht die einzige Anwendung ist, die von dieser Schwachstelle bedroht ist“, bemerkte Ducklin.
Darüber hinaus ist jede App, die Webinhalte auf iOS für andere Zwecke als das allgemeine Surfen anzeigt – etwa auf ihren Hilfeseiten –, it "Über" Bildschirm oder sogar in einem eingebauten „Minibrowser“ – verwendet WebKit unter der Haube, fügte er hinzu.
„Mit anderen Worten, Safari einfach zu vermeiden und an einem Drittanbieter-Browser festzuhalten, ist keine geeignete Problemumgehung [für WebKit-Fehler]“, schrieb Ducklin.
Apple unter Beschuss
Während Benutzer und Fachleute gleichermaßen die Mac- und iOS-Plattformen von Apple traditionell als sicherer als Microsoft Windows betrachteten – und dies war im Allgemeinen aus einer Reihe von Gründen der Fall –, beginnt sich das Blatt zu wenden, sagen Experten.
In der Tat zeigt eine aufkommende Bedrohungslandschaft ein größeres Interesse daran, auf allgegenwärtigere Webtechnologien und nicht auf das Betriebssystem selbst abzuzielen hat das Ziel erweitert auf Apples Rücken, nach eine Bedrohungsmeldung veröffentlicht im Januar, und die defensive Patching-Strategie des Unternehmens spiegelt dies wider.
Apple hat in diesem Jahr mindestens vier Zero-Day-Fehler gepatcht, wobei zwei Patches für frühere iOS- und macOS-Schwachstellen hinzukommen Januar und eine in Februar – Letzteres behebt ein weiteres aktiv ausgenutztes Problem in WebKit.
Darüber hinaus wurden im vergangenen Jahr 12 von 57 Zero-Day-Bedrohungen von Forschern aus Googles Project Zero entdeckt verfolgt waren Apple-bezogen (dh mehr als 20 %), mit Problemen, die macOS, iOS, iPadOS und WebKit betrafen.
