Apple släppte brådskande säkerhetsuppdateringar denna vecka för att åtgärda nolldagssårbarheter i äldre iPhone-, iPad- och iPod-modeller.
Patcharna, som släpptes på onsdagen, åtgärdar ett skrivproblem utanför gränserna som kan utnyttjas av en angripare så att de kan ta kontroll över den drabbade enheten. US Cyber Security and Infrastructure Agency (CISA) uppmuntrade idag användare och IT-administratörer att granska Apple Advisory HT213428 och tillämpa alla nödvändiga uppdateringar.
Apple svarade inte omedelbart på en begäran om kommentar om huruvida sårbarheterna hade uppmärksammats genom aktiva utnyttjande, men dess säkerhetsuppdatering sa: "Apple är medveten om en rapport om att det här problemet kan ha utnyttjats aktivt."
Sårbarheter i programvara listas i databasen Common Vulnerabilities and Exposures (CVE), ett system som finansieras av en avdelning av det amerikanska departementet för inrikessäkerhet (DHS) för att säkerställa offentliggörande av säkerhetsbrister och exponeringar.
"Problemet är att om en webbsida är byggd på ett visst sätt kan det orsaka att kod exekveras på enheten utanför normal inneslutning och effektivt skapa en skadlig situation på enheten som kan äventyra data, kontakter, plats, infoga skadlig programvara. föremål etc sade Jack Gold, huvudanalytiker på J. Gold Associates, LLC.
"Så det är ett stort problem", tillade han.
Sårbarheterna påverkar iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 och iPod touch (6:e generationen) och datorer som kör tidigare versioner av macOS.
Det faktum att problemet påverkar denna grupp av äldre enheter, inte nyare modeller, betyder att det finns relativt få enheter i riskzonen, sa Gold. Ändå, sa han, bör alla med en av de äldre enheterna uppgradera så snart som möjligt.
Även om en föreslagen patch för äldre enheter kan verka oviktig, är cyberbrottslingar särskilt förtjusta i äldre, oparpad teknologi, särskilt om sårbarheten ger dem full kontroll och möjlighet att komma åt andra system och tjänster.
"En angripare kan locka ett potentiellt offer till en specialgjord webbplats eller använda malvertising för att äventyra ett sårbart system genom att utnyttja denna sårbarhet", sa Malwarebytes i ett blogginlägg idag. "Eftersom sårbarheten finns i Apples HTML-renderingsprogram (WebKit). WebKit fungerar med alla iOS- och Safari-webbläsare, så potentiella mål är iPhones, iPads och Macs, som kan luras att köra otillåten kod.
Problemet är löst i iOS 15.6.1, iPadOS 15.6.1 och macOS Monterey 12.5.1. Apple uppmuntrar användare att uppdatera till de senaste versionerna av sin programvara.
Copyright © 2022 IDG Communications, Inc.