SIKKERHET

Google fant tre nulldagssårbarheter i Apples Ios

Nå har Apple tettet hullene.

Illustrasjon: Google Zero har funnet tre nulldagssårbarheter i Apples Ios.
Illustrasjon: Google Zero har funnet tre nulldagssårbarheter i Apples Ios. Illustrasjonsfoto: Apple. Montasje: digi.no
Ida OftebroIda OftebroRedaktør for Digi.no og Inside Telecom
7. nov. 2020 - 13:00

Google Project Zero har avdekket sju aktivt utnyttede nulldagssårbarheter i løpet av de siste to ukene. Uttrykket nulldagssårbarheter viser til hvor mange dager man har til å fikse sårbarheten. Null dager vil si at hackere allerede er i gang med å utnytte sikkerhetshullene.

De tre sårbarhetene Apple nylig rettet opp, var allerede i ferd med å bli aktivt utnyttet av hackere, skriver Ars Technica.

Sikkerhetshullene rammer Iphone 6 og nyere Apple-telefoner, sjuende generasjon Ipod Touch, Ipad air 2 og senere, og Ipad mini 4 og senere. Feilene er:

  • CVE-2020-27930, en kodekjøringssårbarhet som angripere kan trigge ved hjelp av fonter med ondsinnet kode.
  • CVE-2020-27950, som lar en ondsinnet app finne lokasjoner i kjerneminnet  
  • CVE-2020-27932, en bug som lar kode kjøre med systemrettigheter på høyt nivå

Rettet før publisering

I motsetning til Microsoft, som ikke rakk å tette sikkerhetshullene før Google Zero-prosjektet offentliggjorde sårbarhetene, har Apple sluppet fikser via utgivelsen av Ios 14.2, og gjennom oppdateringen av macOS Catalina 10.15.7.

Windows-sårbarheten det dreide seg om lå ifølge Google i driverfilen cng.sys (cryptography Next Generation) og gikk under sporingskoden CVE-2020-17087. Det er en såkalt buffer-overflytsfeil som kan brukes til eskalering av privilegier, som igjen kan utnyttes til å skaffe sensitiv informasjon.

Hullet kan også brukes til å unnslippe sandbox-funksjoner, sikkerhetsteknikker som brukes til å isolere ukjente og tvilsomme programmer for å bedre kunne oppdage og analysere dem.

Microsoft har bekreftet feilen, men klarte altså ikke å overholde Googles frist, noe som førte til offentliggjøringen nylig. I en kommentar antyder selskapet at fristen de fikk var i overkant kort.

– Selv om vi arbeider for å møte enhver deadline fra alle forskere, inkludert korttidsfrister som i dette scenarioet, er utvikling av sikkerhetsoppdateringer en balanse mellom betimelighet og kvalitet og vårt ultimate mål er å sikre maksimal brukerbeskyttelse med færrest mulig forstyrrelser av brukerne, sa en talsperson for Microsoft.

Microsoft fikk sju dager til å fikse sårbarheten, men klarte altså ikke dette. Project Zero har tidligere fått kritikk for å publisere nulldagssårbarheter før det finnes tilgjengelige fikser, og har også fått kritikk for å spre frykt, og for å gi aktørene for korte frister til å tette aktivt utnyttede sikkerhetshull.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.