Apple fikser 3 flere Zero-Day-sårbarheter

I en nødsikkerhetsoppdatering har Apple identifisert tre null-dagers sårbarheter påvirker iPhones og Mac-produkter som aktivt utnyttes.

En sårbarhet, spores som CVE-2023-41992, er en feil funnet i Kernel Framework som trusselaktører kan utnytte for å eskalere privilegier. To av de andre sårbarhetene, spores som CVE-2023-41993 og CVE-2023-41991. finnes i henholdsvis WebKit-nettlesermotoren og sikkerhetsrammeverket. Trusselaktører får muligheten til å potensielt "omgå signaturvalidering" så vel som "få vilkårlig kodekjøring via skadelig utformede nettsider" dersom de skulle utnytte disse sårbarhetene, ifølge Apples råd.

Enheter som blir påvirket av disse nulldagene varierer mellom eldre og nyere modeller av Apple-produkter, inkludert iPhone 8 og nyere; iPad mini 5. generasjon og nyere; hvilken som helst Mac som kjører på macOS Monterey eller nyere; og Apple Watch Series 4 og nyere.

Disse problemene er løst i iOS 16.7, iPadOS 16.7, OS 17.0.1, iPadOS 17.0.1 og Safari 16.6.1, og ble først oppdaget og rapportert av Bill Marczak ved Citizen Lab og Maddie Stone ved Googles Threat Analysis Group. Citizen Lab holder vanligvis oversikt over spionvaresaker, men foreløpig er det ingen tilgjengelige detaljer om arten av utnyttelsene eller angrepene i naturen. 

"eple er klar over en rapport om at dette problemet kan ha blitt aktivt utnyttet mot versjoner av iOS før iOS 16.7," heter det i National Vulnerability Database, selv om det er ukjent i hvilken grad de ble utnyttet.