Abonner
SIKKERHET

Google fant tre nulldagssårbarheter i Apples Ios

Nå har Apple tettet hullene.

Illustrasjon: Google Zero har funnet tre nulldagssårbarheter i Apples Ios.
Illustrasjon: Google Zero har funnet tre nulldagssårbarheter i Apples Ios. Illustrasjonsfoto: Apple. Montasje: digi.no
Del
Kommenter
Ida OftebroIda OftebroRedaktør for Digi.no og Inside Telecom
Eigil KnudsenEigil Knudsen
7. nov. 2020 - 13:00

Google Project Zero har avdekket sju aktivt utnyttede nulldagssårbarheter i løpet av de siste to ukene. Uttrykket nulldagssårbarheter viser til hvor mange dager man har til å fikse sårbarheten. Null dager vil si at hackere allerede er i gang med å utnytte sikkerhetshullene.

De tre sårbarhetene Apple nylig rettet opp, var allerede i ferd med å bli aktivt utnyttet av hackere, skriver Ars Technica.

Sikkerhetshullene rammer Iphone 6 og nyere Apple-telefoner, sjuende generasjon Ipod Touch, Ipad air 2 og senere, og Ipad mini 4 og senere. Feilene er:

  • CVE-2020-27930, en kodekjøringssårbarhet som angripere kan trigge ved hjelp av fonter med ondsinnet kode.
  • CVE-2020-27950, som lar en ondsinnet app finne lokasjoner i kjerneminnet  
  • CVE-2020-27932, en bug som lar kode kjøre med systemrettigheter på høyt nivå

Rettet før publisering

I motsetning til Microsoft, som ikke rakk å tette sikkerhetshullene før Google Zero-prosjektet offentliggjorde sårbarhetene, har Apple sluppet fikser via utgivelsen av Ios 14.2, og gjennom oppdateringen av macOS Catalina 10.15.7.

Windows-sårbarheten det dreide seg om lå ifølge Google i driverfilen cng.sys (cryptography Next Generation) og gikk under sporingskoden CVE-2020-17087. Det er en såkalt buffer-overflytsfeil som kan brukes til eskalering av privilegier, som igjen kan utnyttes til å skaffe sensitiv informasjon.

Hullet kan også brukes til å unnslippe sandbox-funksjoner, sikkerhetsteknikker som brukes til å isolere ukjente og tvilsomme programmer for å bedre kunne oppdage og analysere dem.

Microsoft har bekreftet feilen, men klarte altså ikke å overholde Googles frist, noe som førte til offentliggjøringen nylig. I en kommentar antyder selskapet at fristen de fikk var i overkant kort.

– Selv om vi arbeider for å møte enhver deadline fra alle forskere, inkludert korttidsfrister som i dette scenarioet, er utvikling av sikkerhetsoppdateringer en balanse mellom betimelighet og kvalitet og vårt ultimate mål er å sikre maksimal brukerbeskyttelse med færrest mulig forstyrrelser av brukerne, sa en talsperson for Microsoft.

Microsoft fikk sju dager til å fikse sårbarheten, men klarte altså ikke dette. Project Zero har tidligere fått kritikk for å publisere nulldagssårbarheter før det finnes tilgjengelige fikser, og har også fått kritikk for å spre frykt, og for å gi aktørene for korte frister til å tette aktivt utnyttede sikkerhetshull.

Artikkelen fortsetter etter annonsen
annonsørinnhold
Tietoevry
Energisektoren i endring: Her skal Tietoevry Tech Services trappe opp
Iphone-telefoner skal ha vært målet i nytt Pegasus-angrep.
Les også

Hackere spionerte på Iphone via sårbarhet i Imessages-appen

Les mer om:
SIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Sporveien
Driftsingeniør Nettverk og Tele
NAF AS
Virksomhetsarkitekt
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra