Apple patcher aktivt udnyttet Zero-Day i sit økosystem

Apple har for nylig udrullet en række opdateringer til deres operativsystemer og Safari-browser, der adresserer adskillige sårbarheder, som aktivt blev udnyttet af ukendte trusselsaktører. Blandt disse sårbarheder er to nul-dage, der er blevet brugt i en overvågningskampagne kaldet Operation Triangulation siden 2019.

Den første sårbarhed, CVE-2023-32434, er en heltalsoverløbsfejl i kernen, der kunne udnyttes af en ondsindet app til at udføre vilkårlig kode med kernerettigheder. Den anden sårbarhed, CVE-2023-32435, er et problem med hukommelseskorruption i WebKit, der kan resultere i vilkårlig kodeudførelse ved behandling af specielt udformet webindhold.

Apple har erkendt, at disse to sårbarheder kan være blevet aktivt udnyttet på iOS-versioner udgivet før iOS 15.7. I deres analyse opdagede forskerne et spyware-implantat kendt som TriangleDB, som blev leveret gennem nul-klik-angreb via iMessages, der indeholdt en udnyttelse af en sårbarhed til fjernudførelse af kode.

Spyware ligger udelukkende i hukommelsen

Implantatet fungerer udelukkende i hukommelsen, hvilket gør det vanskeligt at opdage, og det har forskellige muligheder for dataindsamling og sporing, herunder filsysteminteraktion, processtyring, udtrækning af nøgleringelementer til indsamling af legitimationsoplysninger og geolokationsovervågning.

Ud over nuldagene har Apple også rettet en anden sårbarhed, CVE-2023-32439, som kan føre til vilkårlig kodeudførelse ved behandling af ondsindet webindhold. Opdateringen er tilgængelig til forskellige platforme, herunder iOS, iPadOS, macOS, watchOS og Safari.

Disse seneste rettelser bringer det samlede antal nul-dages sårbarheder, som Apple har behandlet i år, til ni. I tidligere opdateringer har Apple løst andre sårbarheder, såsom en WebKit-fejl (CVE-2023-23529), der tillod fjernudførelse af kode og to fejl (CVE-2023-28205 og CVE-2023-28206), der muliggjorde kodeudførelse med forhøjede rettigheder.