Apple har släppt iOS 14.7.1 och iPad iOS 14.7.1 och avslöjat att det åtgärdar en tidigare okänd brist som företaget säger verkar ha “aktivt utnyttjats”.
Företaget släppte också macOS Big Sur 11.5.1 för att ta itu med samma problem i den gemensamma Apple-kärntillägget IOMobileFrameBuffer.
En skadlig app kan utföra godtycklig kod med kärnprivilegier, varnar Apple i båda rådgivningarna.
“Apple är medveten om en rapport om att denna fråga kan ha utnyttjats aktivt”, står det och noterar att minneskorruptionsfrågan taggad som CVE-2021-30807 rapporterades av en anonym forskare. Redan har bevis på konceptutnyttjningskod publicerats online.
Separat avslöjade Saar Amar, en säkerhetsforskare och medlem av Microsoft Security Response Center (MSRC) att han också hade upptäckt det nu lappade felet i iOS för fyra månader sedan. Han säger att han inte rapporterade problemet till Apple tidigare eftersom han arbetade för en högkvalitativ bugrapport för Apples bug bounty-program. Efter att Apple avslöjat felet publicerade han detaljerade förklarande anmärkningar om de problem han hittade i IOMobileFrameBuffer.
Han konstaterar att felet “är så trivialt och enkelt som det kan bli”, men tillägger att “exploateringsprocessen är ganska intressant här” och erbjuder mer detaljer än Apple någonsin skulle ge i sina råd.
Amar beskriver det som en sårbarhet för lokal privilegiereskalering (LPE) som kan utlösas från en kärnmotor i en Safari WebKit-komponent som heter WebContent.
iOS/iPadOS-uppdateringen är tillgänglig för iPhone 6s och senare, iPad Pro (alla modeller), iPad Air 2 och senare, iPad 5: e generationen och senare, iPad mini 4 och senare, och iPod touch (7: e generation).
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter 