Apple stänger allvarligt säkerhetshål
En allvarlig minnesbugg i Apples ”Webkit browser engine” som om den exploateras kan ge full åtkomst till berörda system.
Buggen CVE-2021-1844 rankas som 7.7 av 10 på CVSS sårbarhetsskala vilket gör det till ett högrisk-sårbarhet.
Vad är Apple Webkit?
Apple WebKit browser engine utvecklades för Apples webbläsare Safari men används även i Apple Mail och App Store samt diverse olika program i macOS och iOS. Sårbarheten härrör från en minneshantering process där innehållet skadas då dess innehåll ändras på ett otillåtet sätt, utifrån vad programmeringsspråket tillåter. Detta uppnås genom att innehåll på hemsidor skapas med slumpmässig kod vilket i sin tur möjliggör exekvering av speciellt formad kod vilket i sin tur kan leda till exponering av systemet.
Vilka Apple enheter påverkas
Apple skjuter ut uppdateringar till en rad olika enheter, däribland macOS Big Sur 11.2.3; watchOS 7.3.2 (för Apple Watch serie 3 eller senare) och iOS 14.4.1 och iPadOS 14.4.1 (för iPhone 6s och senare, iPad Air 2 och senare, iPad Mini 4 och senare samt iPod Touch 7:e generationen).
Säkerhetsuppdatering finns även för Safari 14.0.3 för macOS Catalina och macOS Mojave
Apple säkerhetsuppdateringar
Detta är bara den senaste uppdateringen av WebKit från Apple. I januari släppte Apple tre nöduppdateringar till iOS där två av dem var relaterade till WebKit och den tredje härrörde till OS-kärnan.
Upptäckten av de senaste bristerna tillskrivs Clément Lecigne hos Google Threat Analysis Group och Alison Huffman hos Microsoft Browser Vulnerability Research