Apple har i tysthet rullat ut fler uppdateringar till iOS för att åtgärda en aktivt utnyttjad nolldagarssäkerhetssårbarhet som det korrigerade tidigare denna månad på nyare enheter. Sårbarheten, som finns i WebKit, kan tillåta angripare att skapa skadligt webbinnehåll som tillåter fjärrkörning av kod (RCE) på en användares enhet.
En uppdatering släpptes onsdag, iOS 12.5.6, gäller för följande modeller: iPhone 5S, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 och iPod touch 6:e generationen.
Felet i fråga (CVE-2022-32893) beskrivs av Apple som ett skrivproblem utanför gränserna i WebKit. Det togs upp i patchen med förbättrad gränskontroll. Apple erkände att buggen är under aktiv exploatering, och det uppmanar användare av berörda enheter att uppdatera omedelbart.
Apple hade redan åtgärdat sårbarheten för vissa enheter – tillsammans med ett kärnfel spårat som CVE-2022-32894 – tidigare i augusti i iOS 15.6.1. Det är en uppdatering som omfattade iPhone 6S och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5:e generationen och senare, iPad mini 4 och senare, och iPod touch (7:e generationen).
Den senaste omgången av patchar verkar vara att Apple täcker alla sina baser genom att lägga till skydd för iPhones som kör äldre versioner av iOS, noterade säkerhetsevangelisten Paul Ducklin.
"Vi gissar att Apple måste ha stött på åtminstone några högprofilerade (eller högrisk-, eller båda) användare av äldre telefoner som kompromettats på det här sättet, och beslutat att skjuta ut skydd för alla som en speciell försiktighetsåtgärd, " han skrev i ett inlägg på Sophos Naked Security-bloggen.
Den dubbla täckningen av Apple för att fixa buggen i båda versionerna av iOS beror på förändringen i vilka versioner av plattformen som körs på vilka iPhones, förklarade Ducklin.
Innan Apple släppte iOS 13.1 och iPadOS 13.1 använde iPhones och iPads samma operativsystem, kallat iOS för båda enheterna, sa han. Nu täcker iOS 12.x iPhone 6 och tidigare enheter, medan iOS 13.1 och senare versioner körs på iPhone 6s och enheter som släpps efter.
Det andra nolldagsfelet som Apple korrigerade tidigare denna månad, CVE-2022-32894, var en kärnsårbarhet som kan tillåta övertagande av hela enheten. Men medan iOS 13 påverkades av det felet – och därför fick en patch för det i den tidigare uppdateringen – så påverkar det inte iOS 12, observerade Ducklin, "vilket nästan säkert undviker risken för total kompromiss av själva operativsystemet" på äldre enheter.
WebKit: En bred cyberattacksyta
WebKit är webbläsarmotorn som driver Safari och alla andra webbläsare från tredje part som fungerar på iOS. Genom att utnyttja CVE-2022-32893 kan en hotaktör bygga in skadligt innehåll på en webbplats. Sedan, om någon besöker webbplatsen från en drabbad iPhone, kan skådespelaren fjärrexekvera skadlig programvara på sin enhet.
WebKit i allmänhet har varit en ihållande nagel i ögonen på Apple när det kommer till att utsätta användare för sårbarheter eftersom det sprider sig bortom iPhones och andra Apple-enheter till andra webbläsare som använder det – inklusive Firefox, Edge och Chrome – vilket kan utsätta miljontals användare i riskzonen från en given bugg.
"Kom ihåg att WebKit-buggar finns, löst uttryckt, i mjukvarulagret under Safari, så att Apples egen Safari-webbläsare inte är den enda appen som riskerar denna sårbarhet," observerade Ducklin.
Dessutom kan alla appar som visar webbinnehåll på iOS för andra syften än allmän surfning – som på sina hjälpsidor, dess "Handla om" skärm, eller till och med i en inbyggd "miniwebbläsare" - använder WebKit under huven, tillade han.
"Med andra ord, att bara 'undvika Safari' och hålla sig till en webbläsare från tredje part är inte en lämplig lösning [för WebKit-buggar]," skrev Ducklin.
Apple under attack
Medan både användare och proffs traditionellt sett har sett Apples Mac- och iOS-plattformar som säkrare än Microsoft Windows - och detta har i allmänhet varit sant av ett antal anledningar - börjar strömmen vända, säger experter.
Faktum är att ett framväxande hotlandskap visar mer intresse för att rikta in sig på mer allmänt förekommande webbteknologier och inte själva operativsystemet har vidgat målet på Apples rygg, enligt en hotrapport släpptes i januari, och företagets defensiva patchningsstrategi speglar detta.
Apple har åtgärdat minst fyra nolldagarsbrister i år, med två patchar för tidigare iOS- och macOS-sårbarheter som kommer in Januari och en in Februari — varav den senare fixade ett annat aktivt utnyttjat problem i WebKit.
Dessutom, förra året 12 av 57 nolldagshot som forskare från Googles Project Zero spåras var Apple-relaterade (dvs. mer än 20 %), med problem som påverkade macOS, iOS, iPadOS och WebKit.
