Apple har frigivet sikkerhedsrettelser til en aktivt udnyttet iOS nul-dages sårbarhed. Sårbarheden, kendt som CVE-2023-42824, kunne udnyttes af en lokal angriber til at forøge deres privilegier.
Apple har løst problemet ved at implementere forbedrede kontrolforanstaltninger. Virksomheden bemærkede, at der er blevet rapporteret om aktiv udnyttelse af denne sårbarhed i tidligere versioner af iOS før iOS 16.6.
Zero-days med sikkerhed udnyttet
Selvom yderligere detaljer om angrebenes art og de involverede trusselaktører i øjeblikket er ukendte, er det sandsynligt, at en angriber allerede har opnået adgang på anden vis for at kunne udnytte sårbarheden.
Apple's seneste opdatering adresserer også CVE-2023-5217, som påvirker WebRTC-komponenten. Google beskrev for nylig dette som en bufferoverløbsfejl i VP8-komprimeringsformatet i libvpx.
Det drejer sig om disse opdatereringer:
Opdateringerne, iOS 17.0.3 og iPadOS 17.0.3, er tilgængelige for følgende enheder:
- iPhone XS og nyere
- iPad Pro 12,9-tommer 2. generation og nyere, iPad Pro 10,5-tommer, iPad Pro 11-tommer 1. generation og nyere, iPad Air 3. generation og nyere, iPad 6. generation og nyere, og iPad mini 5. generation og nyere
Med denne seneste udvikling har Apple nu adresseret i alt 17 aktivt udnyttede zero-days i deres software siden årets begyndelse.
I kølvandet på mange andre opdateringer pga. sårbarheder
Det er værd at bemærke, at dette sker to uger efter, at Apple udsendte opdateringer for at rette tre sårbarheder (CVE-2023-41991, CVE-2023-41992 og CVE-2023-41993), som alle blev udnyttet af en israelsk spyware-leverandør ved navn Cytrox til at levere Predator-malwaren på en iPhone, der tilhørte det tidligere egyptiske parlamentsmedlem Ahmed Eltantawy tidligere på året. CVE-2023-41992 henviser også til en kernefejl, der tillader lokale angribere at forøge deres privilegier. Det er endnu ikke klart, om de to sårbarheder har nogen forbindelse til hinanden, eller om CVE-2023-42824 fungerer som en omgåelse for CVE-2023-41992.
Sekoia har i en nylig analyse påpeget ligheder i infrastrukturen mellem Cytrox's (også kendt som Lycantrox) kunder og et andet kommercielt spywarefirma ved navn Candiru (alias Karkadann), sandsynligvis på grund af deres fælles brug af spyware-teknologier. Det franske cybersikkerhedsfirma bemærkede, at Lycantrox's infrastruktur består af VPS-hosting i flere autonome systemer. Hver kunde ser ud til at køre deres egne instanser af VPS og administrere deres egne domænenavne i forbindelse med det.
Brugere, der er i risiko for at blive mål for angreb, opfordres til at aktivere "Lockdown Mode" for at minimere eksponeringen over for spywareudnyttelse fra tredjepart.