Apple patchar aktivt utnyttjade Zero-Day i sitt ekosystem

Apple har nyligen rullat ut en serie uppdateringar för sina operativsystem och webbläsare Safari, som åtgärdar flera sårbarheter som aktivt utnyttjades av okända hotaktörer. Bland dessa sårbarheter finns två nolldagar som har använts i en övervakningskampanj kallad Operation Triangulation sedan 2019.

Den första sårbarheten, CVE-2023-32434, är ett heltalsspillfel i kärnan som kan utnyttjas av en skadlig app för att exekvera godtycklig kod med kärnbehörighet. Den andra sårbarheten, CVE-2023-32435, är ett problem med minneskorruption i WebKit som kan resultera i exekvering av godtycklig kod vid bearbetning av speciellt utformat webbinnehåll.

Apple har erkänt att dessa två sårbarheter kan ha utnyttjats aktivt på iOS-versioner som släpptes före iOS 15.7. I sin analys upptäckte forskarna ett spionprogramsimplantat känt som TriangleDB, som levererades genom nollklicksattacker via iMessages som innehöll en exploatering för en sårbarhet för fjärrkörning av kod.

Spionprogram finns enbart i minnet

Implantatet fungerar uteslutande i minnet, vilket gör det svårt att upptäcka, och det har olika möjligheter för datainsamling och spårning, inklusive filsysteminteraktion, processhantering, utvinning av nyckelringsobjekt för insamling av autentiseringsuppgifter och geolokaliseringsövervakning.

Utöver nolldagarna har Apple även korrigerat en annan sårbarhet, CVE-2023-32439, som kan leda till exekvering av godtycklig kod vid bearbetning av skadligt webbinnehåll. Uppdateringen är tillgänglig för olika plattformar, inklusive iOS, iPadOS, macOS, watchOS och Safari.

Dessa senaste korrigeringar bringar det totala antalet nolldagarssårbarheter som Apple åtgärdat i år till nio. I tidigare uppdateringar har Apple löst andra sårbarheter, som ett WebKit-fel (CVE-2023-23529) som möjliggjorde fjärrkörning av kod och två buggar (CVE-2023-28205 och CVE-2023-28206) som möjliggjorde kodexekvering med förhöjda privilegier.