Apple har frigivet iOS 14.7.1 og iPad iOS 14.7.1 og afsløret, at det løser en tidligere ukendt fejl, som virksomheden siger ser ud til at være “aktivt udnyttet”.
Virksomheden frigav også macOS Big Sur 11.5.1 for at løse det samme problem i den almindelige Apple-kerneudvidelse IOMobileFrameBuffer.
En ondsindet app kunne udføre vilkårlig kode med kernerettigheder, advarer Apple i begge råd.
“Apple er opmærksom på en rapport om, at dette problem muligvis er blevet udnyttet aktivt”, står der og bemærker, at problemet med hukommelseskorruption, der er mærket som CVE-2021-30807, blev rapporteret af en anonym forsker. Allerede nu er bevis for konceptudnyttelseskode blevet sendt online.
Separat afslørede Saar Amar, en sikkerhedsforsker og medlem af Microsoft Security Response Center (MSRC), at han også havde opdaget den nu patchede fejl i iOS for fire måneder siden. Han siger, at han ikke rapporterede problemet til Apple tidligere, da han arbejdede hen imod en fejlrapport af høj kvalitet til Apples bug bounty-program. Efter at Apple afslørede fejlen, offentliggjorde han detaljerede forklarende bemærkninger om de problemer, han fandt i IOMobileFrameBuffer.
Han bemærker, at fejlen “er så triviel og ligetil, som den kan blive”, men tilføjer, at “udnyttelsesprocessen er ret interessant her” og giver flere detaljer, end Apple nogensinde ville give i sine rådgivninger.
Amar beskriver det som en lokal sikkerhedsrisiko (LPE), der kan udløses fra en kernemotor i en Safari WebKit-komponent kaldet WebContent.
iOS/iPadOS-opdateringen er tilgængelig til iPhone 6s og nyere, iPad Pro (alle modeller), iPad Air 2 og nyere, iPad 5. generation og nyere, iPad mini 4 og nyere og iPod touch (7. generation).
Relaterede emner:
Sikkerhed TV-datastyring CXO-datacentre 