Apple heeft stilletjes meer updates voor iOS uitgerold om een actief misbruikt zero-day beveiligingslek te verhelpen dat het eerder deze maand op nieuwere apparaten heeft gepatcht. Het beveiligingslek, gevonden in WebKit, kan aanvallers in staat stellen om schadelijke webinhoud te maken die externe code-uitvoering (RCE) op het apparaat van een gebruiker mogelijk maakt.
Een update uitgebracht op woensdag, iOS 12.5.6, is van toepassing op de volgende modellen: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 en iPod touch 6e generatie.
De fout in kwestie (CVE-2022-32893) wordt door Apple beschreven als een schrijfprobleem buiten het bereik in WebKit. Het is verholpen in de patch met verbeterde grenscontrole. Apple erkende dat de bug actief wordt misbruikt en dringt er bij gebruikers van getroffen apparaten op aan om onmiddellijk te updaten.
Apple had de kwetsbaarheid voor sommige apparaten al gepatcht - naast een kernelfout die werd bijgehouden als CVE-2022-32894 - eerder in augustus in iOS 15.6.1. dat is een update die betrekking hadden op iPhone 6S en nieuwer, iPad Pro (alle modellen), iPad Air 2 en nieuwer, iPad 5e generatie en nieuwer, iPad mini 4 en nieuwer, en iPod touch (7e generatie).
De laatste ronde van patches lijkt te zijn dat Apple al zijn bases dekt door bescherming toe te voegen voor iPhones met oudere versies van iOS, merkte beveiligingsevangelist Paul Ducklin op.
"We vermoeden dat Apple op zijn minst enkele prominente (of risicovolle, of beide) gebruikers van oudere telefoons moet zijn tegengekomen die op deze manier zijn gecompromitteerd, en heeft besloten om als speciale voorzorgsmaatregel voor iedereen bescherming te bieden, " Hij schreef in een post op de Sophos Naked Security-blog.
De dubbele dekking door Apple om de bug in beide versies van iOS op te lossen, is te wijten aan de verandering in welke versies van het platform op welke iPhones draaien, legde Ducklin uit.
Voordat Apple iOS 13.1 en iPadOS 13.1 uitbracht, gebruikten iPhones en iPads hetzelfde besturingssysteem, ook wel iOS genoemd voor beide apparaten, zei hij. Nu dekt iOS 12.x iPhone 6 en eerdere apparaten, terwijl iOS 13.1 en latere versies draaien op iPhone 6s en apparaten die daarna zijn uitgebracht.
De andere zero-day-fout die Apple eerder deze maand heeft gepatcht, CVE-2022-32894, was een kernelkwetsbaarheid die volledige apparaatovername mogelijk maakt. Maar hoewel iOS 13 door die fout werd getroffen - en er dus een patch voor kreeg in de eerdere update - heeft het geen invloed op iOS 12, merkte Ducklin op, "wat vrijwel zeker het risico van een totale compromis van het besturingssysteem zelf vermijdt" op oudere versies. apparaten.
WebKit: een breed cyberaanvaloppervlak
WebKit is de browser-engine die Safari en alle andere browsers van derden die op iOS werken mogelijk maakt. Door gebruik te maken van CVE-2022-32893 kan een dreigingsactor schadelijke inhoud in een website inbouwen. Als iemand de site vervolgens bezoekt vanaf een getroffen iPhone, kan de acteur op afstand malware uitvoeren op zijn of haar apparaat.
WebKit is in het algemeen een hardnekkige doorn in het oog van Apple geweest als het gaat om het blootstellen van gebruikers aan kwetsbaarheden, omdat het zich buiten iPhones en andere Apple-apparaten verspreidt naar andere browsers die het gebruiken - waaronder Firefox, Edge en Chrome - waardoor mogelijk miljoenen gebruikers gevaar lopen een bepaalde fout.
"Vergeet niet dat WebKit-bugs, losjes gesproken, bestaan in de softwarelaag onder Safari, zodat Apples eigen Safari-browser niet de enige app is die risico loopt door deze kwetsbaarheid", merkte Ducklin op.
Bovendien kan elke app die webinhoud op iOS weergeeft voor andere doeleinden dan algemeen browsen, zoals op de helppagina's, haar "Over" scherm, of zelfs in een ingebouwde "minibrowser" - gebruikt WebKit onder de motorkap, voegde hij eraan toe.
"Met andere woorden, het 'vermijden van Safari' en vasthouden aan een browser van een derde partij is geen geschikte oplossing [voor WebKit-bugs]", schreef Ducklin.
Appel onder aanval
Hoewel zowel gebruikers als professionals de Mac- en iOS-platforms van Apple traditioneel als veiliger beschouwden dan Microsoft Windows - en dit is over het algemeen om een aantal redenen het geval geweest - begint het tij te keren, zeggen experts.
Inderdaad, een opkomend dreigingslandschap dat meer interesse toont in het richten op meer alomtegenwoordige webtechnologieën en niet op het besturingssysteem zelf heeft het doel verbreed op de rug van Apple, volgens een dreigingsrapport uitgebracht in januari, en de defensieve patchstrategie van het bedrijf weerspiegelt dit.
Apple heeft dit jaar ten minste vier zero-day-fouten gepatcht, met twee patches voor eerdere iOS- en macOS-kwetsbaarheden die binnenkomen Januari en een in Februari - waarvan de laatste een ander actief misbruikt probleem in WebKit heeft opgelost.
Bovendien hebben vorig jaar 12 van de 57 zero-day-bedreigingen die onderzoekers van Google's Project Zero gevolgd waren Apple-gerelateerd (dwz meer dan 20%), met problemen die van invloed waren op macOS, iOS, iPadOS en WebKit.
