Apple patcher aktivt utnyttet Zero-Day i sitt økosystem

Apple har nylig rullet ut en rekke oppdateringer for operativsystemene og Safari-nettleseren, som adresserer flere sårbarheter som aktivt ble utnyttet av ukjente trusselaktører. Blant disse sårbarhetene er to zero-days som har blitt brukt i en overvåkingskampanje kalt Operation Triangulation siden 2019.

Det første sikkerhetsproblemet, CVE-2023-32434, er en feil med heltallsoverløp i kjernen som kan utnyttes av en ondsinnet app til å kjøre vilkårlig kode med kjernerettigheter. Det andre sikkerhetsproblemet, CVE-2023-32435, er et minnekorrupsjonsproblem i WebKit som kan føre til vilkårlig kjøring av kode ved behandling av spesiallaget nettinnhold.

Apple har erkjent at disse to sårbarhetene kan ha blitt aktivt utnyttet på iOS-versjoner utgitt før iOS 15.7. I analysen deres oppdaget forskerne et spyware-implantat kjent som TriangleDB, som ble levert gjennom null-klikk-angrep via iMessages som inneholdt en utnyttelse av en sårbarhet for ekstern kjøring av kode.

Spyware ligger utelukkende i minnet

Implantatet opererer utelukkende i minnet, noe som gjør det vanskelig å oppdage, og det har ulike muligheter for datainnsamling og sporing, inkludert filsysteminteraksjon, prosessbehandling, uttrekk av nøkkelringelementer for innhenting av legitimasjon og geolokaliseringsovervåking.

I tillegg til nulldagene har Apple også rettet en annen sårbarhet, CVE-2023-32439, som kan føre til vilkårlig kjøring av kode ved behandling av skadelig nettinnhold. Oppdateringen er tilgjengelig for ulike plattformer, inkludert iOS, iPadOS, macOS, watchOS og Safari.

Disse siste rettelsene bringer det totale antallet nulldagssårbarheter som Apple har adressert i år til ni. I tidligere oppdateringer har Apple løst andre sårbarheter, for eksempel en WebKit-feil (CVE-2023-23529) som tillot ekstern kjøring av kode og to feil (CVE-2023-28205 og CVE-2023-28206) som muliggjorde kjøring av kode med forhøyede rettigheter.