Apple har i det stille rullet ut flere oppdateringer til iOS for å fikse et aktivt utnyttet sikkerhetsproblem som ble løst tidligere denne måneden på nyere enheter. Sikkerhetsproblemet, som finnes i WebKit, kan tillate angripere å lage ondsinnet nettinnhold som tillater ekstern kjøring av kode (RCE) på en brukers enhet.
En oppdatering utgitt onsdag, iOS 12.5.6, gjelder for følgende modeller: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 og iPod touch 6. generasjon.
Den aktuelle feilen (CVE-2022-32893) beskrives av Apple som et skriveproblem utenfor grensene i WebKit. Det ble adressert i oppdateringen med forbedret grensekontroll. Apple erkjente at feilen er under aktiv utnyttelse, og det oppfordrer brukere av berørte enheter til å oppdatere umiddelbart.
Apple hadde allerede korrigert sårbarheten for noen enheter – sammen med en kjernefeil sporet som CVE-2022-32894 – tidligere i august i iOS 15.6.1. Det er en oppdatering som dekket iPhone 6S og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad 5. generasjon og nyere, iPad mini 4 og nyere, og iPod touch (7. generasjon).
Den siste runden med patcher ser ut til å være Apple som dekker alle sine baser ved å legge til beskyttelse for iPhones som kjører eldre versjoner av iOS, bemerket sikkerhetsevangelisten Paul Ducklin.
"Vi tipper at Apple må ha kommet over i det minste noen høyprofilerte (eller høyrisiko-, eller begge deler) brukere av eldre telefoner som ble kompromittert på denne måten, og bestemte seg for å presse ut beskyttelse for alle som en spesiell forholdsregel, " han skrev i et innlegg på Sophos Naked Security-bloggen.
Den doble dekningen fra Apple for å fikse feilen i begge versjoner av iOS skyldes endringen i hvilke versjoner av plattformen som kjører på hvilke iPhones, forklarte Ducklin.
Før Apple lanserte iOS 13.1 og iPadOS 13.1, brukte iPhones og iPads det samme operativsystemet, referert til som iOS for begge enhetene, sa han. Nå dekker iOS 12.x iPhone 6 og tidligere enheter, mens iOS 13.1 og nyere versjoner kjører på iPhone 6s og enheter utgitt etter.
Den andre nulldagersfeilen som Apple korrigerte tidligere denne måneden, CVE-2022-32894, var en kjernesårbarhet som kan tillate overtakelse av hele enheten. Men mens iOS 13 ble påvirket av den feilen - og dermed fikk en oppdatering for den i den tidligere oppdateringen - påvirker den ikke iOS 12, observerte Ducklin, "som nesten helt sikkert unngår risikoen for totalt kompromittering av selve operativsystemet" på eldre enheter.
WebKit: En bred cyberangrepsoverflate
WebKit er nettlesermotoren som driver Safari og alle andre tredjeparts nettlesere som fungerer på iOS. Ved å utnytte CVE-2022-32893 kan en trusselaktør bygge skadelig innhold inn på et nettsted. Deretter, hvis noen besøker nettstedet fra en berørt iPhone, kan skuespilleren eksternt utføre skadelig programvare på enheten hans eller hennes.
WebKit generelt har vært en vedvarende torn i øyet for Apple når det gjelder å utsette brukere for sårbarheter fordi det sprer seg utover iPhones og andre Apple-enheter til andre nettlesere som bruker det – inkludert Firefox, Edge og Chrome – og setter potensielt millioner av brukere i fare fra en gitt feil.
"Husk at WebKit-feil eksisterer, løst sagt, i programvarelaget under Safari, slik at Apples egen Safari-nettleser ikke er den eneste appen som er utsatt for dette sikkerhetsproblemet," observerte Ducklin.
Dessuten, enhver app som viser nettinnhold på iOS for andre formål enn generell surfing – for eksempel på hjelpesidene, "Om" skjerm, eller til og med i en innebygd "mininettleser" - bruker WebKit under panseret, la han til.
"Med andre ord, bare å "unngå Safari" og holde seg til en tredjeparts nettleser er ikke en passende løsning [for WebKit-feil], skrev Ducklin.
Apple under angrep
Mens både brukere og fagfolk tradisjonelt har betraktet Apples Mac- og iOS-plattformer som sikrere enn Microsoft Windows - og dette har generelt vært sant av en rekke årsaker - begynner strømmen å snu, sier eksperter.
Faktisk, et fremvoksende trussellandskap som viser mer interesse for å målrette mot mer allestedsnærværende nettteknologier og ikke selve operativsystemet har utvidet målet på Apples rygg, ifølge en trusselmelding utgitt i januar, og selskapets defensive patching-strategi gjenspeiler dette.
Apple har rettet minst fire nulldagers feil i år, med to oppdateringer for tidligere iOS- og macOS-sårbarheter som kommer inn Januar og en i Februar — sistnevnte løste et annet aktivt utnyttet problem i WebKit.
Dessuten, i fjor 12 av 57 nulldagstrusler som forskere fra Googles Project Zero spores var Apple-relaterte (dvs. mer enn 20 %), med problemer som påvirker macOS, iOS, iPadOS og WebKit.
