Neue eingeschaltet ausgenutzte Zero-Day-Schwachstelle in Apple-Produkten entdeckt

14. letzter Monat des Jahres 2022Ravie LakshmananZero-Day-Schwachstelle

Apple hat am zweiter Tag der Woche Sicherheitsupdates pro iOS, iPadOS, macOS, tvOS und den Safari-Webbrowser eingeführt, um eine neue Zero-Day-Schwachstelle zu beheben, die zur Explikation von bösartigem Geheimzeichen münden könnte.

Verfolgt qua CVE-2022-42856wurde dies Problem vom Technologiegiganten qua Typverwirrungsproblem in jener WebKit-Browser-Engine beschrieben, dies zusammen mit jener Weiterverarbeitung speziell gestalteter Inhalte ausgelöst werden könnte, welches zur Explikation willkürlichen Codes münden könnte.

Dies Unternehmen sagte, es sei sich „eines Berichts geistig, dass dieses Problem unter Umständen eingeschaltet gegen Versionen von iOS ausgenutzt wurde, die vor iOS 15.1 veröffentlicht wurden“.

Während die genauen Einzelheiten jener Angriffe noch unbekannt sind, handelte es sich wahrscheinlich um verschmelzen Kernpunkt von Social Engineering oder um ein Watering Hole, um die Geräte beim Visite einer betrügerischen oder legitimen, trotzdem kompromittierten Domain obig den Browser zu infizieren.

Es ist erwähnenswert, dass jeder Webbrowser von Drittanbietern, jener pro iOS und iPadOS verfügbar ist, einschließlich Google Chrome, Mozilla Firefox und Microsoft Edge und andere, aufgrund von Einschränkungen von Apple verpflichtet ist, die WebKit-Rendering-Engine zu verwenden.

Die Feststellung und Meldung des Problems wird Clément Lecigne von Googles Threat Analysis Group (TAG) zugeschrieben. Apple stellte Festtag, dass jener Fehler mit einer verbesserten Zustandsbehandlung behoben wurde.

Dies Update, dies mit iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 und Safari 16.2 verfügbar ist, kommt zwei Wochen, nachdem Apple am 30. November 2022 denselben Fehler in iOS 16.1.2 gepatcht hat.

Jener Sofort markiert die Beseitigung jener zehnten Zero-Day-Schwachstelle, die seit dieser Zeit Zustandekommen des Jahres in Apple-Software entdeckt wurde. Es ist im gleichen Sinne jener neunte eingeschaltet ausgenutzte Zero-Day-Fehler im Jahr 2022 –

• CVE-2022-22587 (IOMobileFrameBuffer) – Eine bösartige Inanspruchnahme kann unter Umständen beliebigen Geheimzeichen mit Kernel-Privilegien ausrollen
• CVE-2022-22594 (WebKit-Speicherung) – Eine Website kann unter Umständen sensible Benutzerinformationen verfolgen (publik veröffentlicht, trotzdem nicht eingeschaltet ausgenutzt)
• CVE-2022-22620 (WebKit) – Die Weiterverarbeitung von in böser Ziel erstellten Webinhalten kann zur Explikation willkürlichen Codes münden
• CVE-2022-22674 (Intel-Grafiktreiber) – Eine Inanspruchnahme kann unter Umständen Kernel-Speicher Vorlesung halten
• CVE-2022-22675 (AppleAVD) – Eine Inanspruchnahme kann unter Umständen beliebigen Geheimzeichen mit Kernel-Privilegien ausrollen
• CVE-2022-32893 (WebKit) – Die Weiterverarbeitung von in böser Ziel erstellten Webinhalten kann zur Explikation willkürlichen Codes münden
• CVE-2022-32894 (Kernel) – Eine Inanspruchnahme kann unter Umständen beliebigen Geheimzeichen mit Kernel-Privilegien ausrollen
• CVE-2022-32917 (Kernel) – Eine Inanspruchnahme kann unter Umständen beliebigen Geheimzeichen mit Kernel-Privilegien ausrollen
• CVE-2022-42827 (Kernel) – Eine Inanspruchnahme kann unter Umständen beliebigen Geheimzeichen mit Kernel-Privilegien ausrollen

Die neuesten iOS-, iPadOS- und macOS-Updates münden im gleichen Sinne eine neue Sicherheitsfunktion namens Advanced Data Protection for iCloud ein, die die End-to-End-Verschlüsselung (E2EE) hinauf „iCloud“-Backups, Notizen, Fotos und mehr erweitert.