iOS og macOS-brukere er i faresonen, svakhet i Webkit ikke fikset

Forskere på it-sikkerhet påpeker at det fortsatt er en svakhet i Webkit som ikke ble tettet i iOS 14.5.1 og senere oppdateringer som tettet andre svakheter i Webkit.

Fortsatt aktiv

Webkit er motoren i Safari og andre nettlesere på iOS og macOS, sikkerhetsforskere påpeker nå at det er svakhet i Webkit som fortsatt kan utnyttes.

En ny svakhet i Webkit er ikke rettet i de siste versjonene av iOS og macOS, det er sikkerhetsselskapet Theori som har uttalt seg om (via ArsTechnica) at svakheten er knyttet til AudioWorklet som håndterer lyd på websider og som forårsaker kræsj i Safari. Med riktige kommandoer kan angripere utnytte denne svakheten for å kjøre egen kode på iPhone, iPad og Mac.

Over tre uker siden

De samme forskerene er overrasket over at Apple fortsatt ikke har fikset feilen, og påpeker at en fiks for denne feilen ble publisert for over tre uker siden av utviklere ikke tilknyttet til Apple. Oppdateringen finnes på Webkit sitt Github-repo. Tross dette har Apple fortsatt til gode å fikse feilen, ei heller har de anerkjent at det er et problem.

This exploit was a fun challenge. We didn't expect Safari to still be vulnerable weeks after the patch was public, but here we are… https://t.co/jkEH7w498Q

— Tim Becker (@tjbecker_) May 26, 2021

Tim Becker, en av forskerene i Theori delte et innlegg fra Theori hvor selskapet skriver at “interessant at de siste versjonene av iOS fortsatt er sårbare”

Det gjenstår å se om Apple nå for med en fiks for denne field I iOS 14.7 eller andre oppdateringer.

Du kan lese mer om svakheten på Theori sin hjemmeside – der har de delt sin rotårsaks-analyse og eksempler på utnyttelse av svakheten.