Apple retter dobbel nulldag i nettleser og kjerne – oppdater nå!

Apple har nettopp sendt ut en nødoppdatering for to nulldagers feil som tilsynelatende er blir aktivt utnyttet.

Det er et eksternt kodeutførelseshull (RCE) kalt CVE-20220-32893 i Apples HTML-gjengivelsesprogramvare (WebKit), ved hjelp av hvilken en booby-fanget nettside kan lure iPhone, iPad og Mac til å kjøre uautorisert og upålitelig programvarekode.

Enkelt sagt, en nettkriminell kan implantere skadevare på enheten din selv om alt du gjorde var å se en ellers uskyldig nettside.

Husk at WebKit er den delen av Apples nettlesermotor som ligger under absolutt all webgjengivelsesprogramvare på Apples mobile enheter.

Mac-er kan kjøre versjoner av Chrome, Chromium, Edge, Firefox og andre "ikke-Safari"-nettlesere med alternative HTML- og JavaScript-motorer (Chromium bruker for eksempel Blink og V8; Firefox er basert på Gecko og Rhino).

Men på iOS og iPadOS insisterer Apples App Store-regler på at all programvare som tilbyr noen form for nettsurfingsfunksjonalitet må være basert på WebKit, inkludert nettlesere som Chrome, Firefox og Edge som ikke er avhengige av Apples nettleserkode på andre plattformer der du kan bruke dem.

I tillegg kan alle Mac- og iDevice-apper med popup-vinduer som f.eks Hjelp or Om oss skjermer bruker HTML som sitt "visningsspråk" - en programmatisk bekvemmelighet som forståelig nok er populær blant utviklere.

Apper som gjør dette bruker nesten helt sikkert Apples nettvisning systemfunksjoner, og WebView er basert direkte på toppen av WebKit, så det er derfor påvirket av eventuelle sårbarheter i WebKit.

De CVE-2022-32893 sårbarhet påvirker derfor potensielt mange flere apper og systemkomponenter enn bare Apples egen Safari-nettleser, så bare å styre unna Safari kan ikke betraktes som en løsning, selv på Mac-er der ikke-WebKit-nettlesere er tillatt.

Så er det en ny null-dag

Det er også et kjernekodeutførelseshull dubbet CVE-2022-32894, der en angriper som allerede har fått et grunnleggende fotfeste på Apple-enheten din ved å utnytte den ovennevnte WebKit-feilen ...

...kan hoppe fra å kontrollere bare en enkelt app på enheten din til å overta selve operativsystemkjernen, og dermed skaffe seg den typen "administrative superkrefter" som normalt er reservert for Apple selv.

Dette betyr nesten helt sikkert at angriperen kan:

• Spioner på alle apper som kjører for øyeblikket
• Last ned og start flere apper uten å gå gjennom App Store
• Få tilgang til nesten alle data på enheten
• Endre systemsikkerhetsinnstillinger
• Hent posisjonen din
• Ta skjermbilder
• Bruk kameraene i enheten
• Aktiver mikrofonen
• Kopier tekstmeldinger
• Spor surfingen din...

…og mye mer.

Apple har ikke sagt hvordan disse feilene ble funnet (annet enn å kreditere "en anonym forsker"), har ikke sagt hvor i verden de har blitt utnyttet, og har ikke sagt hvem som bruker dem eller til hvilket formål.

Løst sett gir imidlertid en fungerende WebKit RCE etterfulgt av en fungerende kjerneutnyttelse, som vist her, vanligvis all funksjonaliteten som trengs for å montere en enhetsjailbreak (derfor med vilje omgå nesten alle Apple-pålagte sikkerhetsrestriksjoner), eller til installer bakgrunnsspyware og holde deg under omfattende overvåking.

Hva gjør jeg?

Patch med en gang!

I skrivende stund har Apple publisert råd for iPad OS 15 og iOS 15, som begge får oppdaterte versjonsnummer av 15.6.1, Og for macOS Monterey 12, som får et oppdatert versjonsnummer på 12.5.2.

• På iPhone eller iPad: innstillinger > general > programvare~~POS=TRUNC
• På din Mac: Apple-menyen > Om denne Mac > Programvare oppdatering…

Det er også en oppdatering som tar WATCH til versjon 8.7.1, men den oppdateringen viser ingen CVE-numre, og har ikke en egen sikkerhetsinformasjon.

Det er ingen ord om hvorvidt de eldre støttede versjonene av macOS (Big Sur og Catalina) er berørt, men ennå ikke har oppdateringer tilgjengelig, eller om tvOS er sårbart, men ennå ikke oppdatering.

For mer informasjon, se denne plassen og hold øynene dine på Apples offisielle sikkerhetsbulletin-portalside, HT201222.