Apple frigav for nylig sikkerhedsrettelser til iOS, iPadOS, watchOS, og macOS, håndtering af sårbarheder rapporteret af Googles Project Zero. Ifølge virksomhedens sikkerhedsanvisninger, tre af manglerne blev rapporteret af Project Zero og udnyttes i naturen.
Disse fejl er en ekstern kodeudførelsesfejl (CVE-2020-27930), en kernehukommelseslækage (CVE-2020-27950), og en eskalering af kerneprivilegier (CVE-2020-27932). Ejere af Apple-enheder bør opdatere deres software så hurtigt som muligt. Det er også bemærkelsesværdigt, at “Apple afslører ikke, drøfte, eller bekræft sikkerhedsproblemer, indtil en undersøgelse er fundet, og patches eller frigivelser generelt er tilgængelige. ”
CVE-2020-27930
Denne kritiske sårbarhed er til stede i macOS op til version 10.15.7. Fejlen påvirker en ukendt behandling af FontParser-komponenten. Ifølge sårbarhedsdatabase, dens manipulation kan føre til hukommelseskorruption. Endvidere, fejlen er triviel at udnytte og kan udnyttes eksternt.
CVE-2020-27950
Dette er en problematisk kerne sårbarhed i Apple iOS og iPadOS op til 14.1, hvilket kan føre til videregivelse af information. Det hidtil vidende er, at udnyttelsen af fejlen synes at være let, og det skal ske lokalt. Enkelte godkendelse er påkrævet for angrebet. Sårbarheden kan også hjælpe en ondsindet app til at køre vilkårlig kode med kernerettigheder.
CVE-2020-27932
Denne sårbarhed i kernen ser ud til at påvirke Apple iOS og iPadOS op til 14.1, samt Apple watchOS op til 5.3.8/6.2.8/7.0.3. Der er kun lidt kendt om fejlen, og dens virkning er stadig ukendt.
Men, sikkerhedsforskere advarer om, at disse mangler kan lænkes sammen for at kapre brugernes enheder. Brugere kan blive narret til at udføre en bestemt handling, såsom at åbne et dokument, besked, eller webside, der indlæser en ondsindet skrifttype. Dette kan derefter føre til kodeudførelse med kernerettigheder.
Tilsvarende opdateringer er blevet frigivet i iOS 14.2 og iPadOS 14.2, watchOS 7.1, MacOS 10.15.7, og tvOS 14.2. Virksomheden udstedte også iOS 12.4.9 til forældede iPhone-modeller, som ikke længere understøttes, går tilbage til iPhone 5. For mere information, du kan læse Apples officielle bulletiner.
I april i år, rapporterede sikkerhedsforsker Bhavuk Jain en nul-dags sårbarhed i funktionen Log ind med Apple der påvirkede tredjepartsapplikationer, bruger det uden at gennemføre deres egne sikkerhedsforanstaltninger.
Ifølge Jain, Apple zero-day “kunne have resulteret i en fuld kontoovertagelse af brugerkonti på den tredjepartsapplikation uanset om et offer har et gyldigt Apple-id eller ej.”