Apple lancerede et omfattende sæt sikkerhedsopdateringer i mandags, inklusive den kritiske CVE-2023-45866, håndtering af alvorlige sårbarheder på tværs af flere platforme.
Opdateringerne dækker iOS, iPadOS, MacOS, tvOS, watchOS, og Safari-webbrowseren, med fokus på at rette sikkerhedsfejl og backporting-løsninger for to nyligt opdagede zero-day sårbarheder til ældre enheder.
iOS- og iPadOS-opdateringer, CVE-2023-45866
Sikkerhedsrettelserne til iOS og iPadOS, mærkede versioner 17.2, give rettelser til 12 sikkerhedssårbarheder, der påvirker forskellige komponenter såsom AVEVideoEncoder, ExtensionKit, Find min, ImageIO, kernel, Safari privat browsing, og WebKit. Især, opdateringsadressen et kritisk sikkerhedsproblem identificeret som CVE-2023-45866, frem i lyset af sikkerhedsforsker Marc Newlin fra SkySafe.
Denne sårbarhed udgjorde en betydelig trussel, giver angribere i en privilegeret netværksposition mulighed for at injicere tastetryk ved at spoofe et tastatur. Apple har reageret hurtigt ved at implementere forbedrede kontroller i iOS 17.2, iPadOS 17.2, og macOS Sonoma 14.2.
macOS Sonoma 14.2: Adressering 39 Sårbarheder
Til macOS-brugere, Sonoma 14.2 opdatere adresser i alt 39 mangler, inklusive seks fejl, der påvirker ncurses-biblioteket. Dette understreger Apples forpligtelse til at forbedre sikkerhedspositionen for sit desktopoperativsystem.
Safari 17.2 Opdateringer
Apple har også udgivet Safari 17.2, med fokus på at løse to kritiske WebKit-fejl (CVE-2023-42890 og CVE-2023-42883). Disse fejl havde potentialet til at føre til vilkårlig kodeudførelse og et lammelsesangreb (DoS) tilstand. Opdateringen er klar til Mac'er, der kører macOS Monterey og macOS Ventura.
Ud over at adressere de identificerede sårbarheder, iOS 17.2 og iPadOS 17.2 inkludere en sikkerhedsopgradering i form af kontaktnøglebekræftelse. Denne funktion forbedrer privatlivets fred for iMessage-samtaler ved at gøre det muligt for brugere at bekræfte de kontakter, de kommunikerer med. Apple understregede i en teknisk rådgivning i oktober 2023 at disse forbedringer beskytter mod kompromittering af nøglekataloger og kompromittering af selve gennemsigtighedstjenesten.
Samtidigt, Apple har også rullet iOS ud 16.7.3 og iPadOS 16.7.3, lukker otte sikkerhedsproblemer. Særligt bekymrende var to WebKit-sårbarheder (CVE-2023-42916 og CVE-2023-42917), tidligere afsløret af Redmond og aktivt udnyttet i naturen. Disse sårbarheder er blevet rettet i tvOS 17.2 og watchOS 10.2, viser Apples forpligtelse til at adressere potentielle trusler på tværs af hele sit økosystem.
Fra nu af, der er begrænsede detaljer tilgængelige om udnyttelsens art og de involverede trusselsaktører. Apples hurtige og omfattende reaktion på disse sårbarheder fremhæver dets dedikation til at levere et sikkert og modstandsdygtigt miljø til sine brugere. Brugere opfordres kraftigt til at opdatere deres enheder til de nyeste softwareversioner for at sikre, at de drager fordel af de forbedrede sikkerhedsforanstaltninger, som disse opdateringer introducerer.