CSIS

Apple lapper 0-dags UXSS sårbarhed i flere iDevices

27/03/2021 07:52:24

Apple har frigivet en vigtig sikkerhedsopdatering, som henvender sig til: iPhoneiPadiPod, og Apple Watch devices.

Der lappes en såkaldt 0-dags sårbarhed, som aktivt har været anvendt i målrettede angreb via Universal Cross Site Scripting (UXSS) teknik. UXSS er mere potent end traditionel XSS og mere omfangsrig i angrebsmuligheder. Se link herunder for yderligere oplysninger om UXSS.

Sårbarheden har fået tildelt CVE-ID: CVE-2021-1879 og er rapporteret af Google Threat Analysis Group.

Der er tale om en "Universal cross-site scripting" svaghed der gør det muligt for en ekstern ondsindet bruger, at afvikle kode via f.eks. et særligt udformet link der grundet utilstrækkelig sanitering af bruger-suppleret data, kan muliggøre indsamling af sensitive autentifikationsdata, herunder websessioner . Det kan give en angriber uautoriseret adgang til en begrænset og beskyttet webservice, herunder, men ikke begrænset til, email- og cloud tjenester. Misbrug af CVE-2021-1879 har fundet sted i begrænsede og målrettede angreb.

Sårbarheden befinder sig i Apple's Webkit, som er en central komponent i iDevices, og særligt Safari browseren, som er den foretrukne browser i Apple udstyr.

En interessant observation er, at CVE-2021-1879 har været en reserveret CVE-ID kandidat siden 8. december 2020. Vi kan således konkludere, at angreb via denne 0-dags sårbarhed, kan have foregået over flere måneder og måske endda længere tid, inden det blev opdaget.

Med denne sikkerhedsopdatering bringes iOS og iPadOS op på version 14.4.2.

CSIS anbefaler, at man opdaterer alle berøre Apple devices med det samme.

Du kan altid checke om du kører med seneste software version i dit Apple udstyr via:
Indstillinger -> Generelt -> Softwareopdatering.

Yderligere oplysninger:
https://support.apple.com/en-us/HT212256
https://support.apple.com/da-dk/HT212257
https://www.cybersecurity-help.cz/vdb/cwe/79/

Hvad er UXSS?
https://www.acunetix.com/blog/articles/universal-cross-site-scripting-uxss/

CSIS Platinum Alert Service (PAS)
Ønsker du at modtage dugfriske og detaljerede oplysninger om sårbarheder, patches og malware? Så prøv vores Platinum Alert gratis i 30 dage, og opnå rettidig viden og tekniske oplysninger og analyser om sårbarheder, pågående trusler, APT, malware og IoCs m.v.

Denne unikke tjeneste har eksisteret siden 1998, dengang under navnet Kruse Security Advisories, men blev integreret i CSIS Security Group tilbage i 2003 som "Platinum Alert Service". PAS er 365/7/24 og leveres efter valg på både Dansk og Engelsk eller begge. Vi har i dag flere end 1500 abonnementer både herhjemme i Danmark og i udlandet. Der gives med abonnementet eksklusiv adgang til vores Digital Guardian platform som indeholder alle historiske advarsler, og indsigtsartikler med mulighed for at foretage søgninger i den omfattende database.

Mere om PAS og prøveabonnement
http://csis.com/cti_platinum-alert-service/

Newsletter

Sign up

Stay informed.
Get our Cyber Bytes!