IOS 8 retter snesevis af sikkerhedsfejl

  • Oct 27, 2023

Mange alvorlige sårbarheder er rettet i den nye version og forbliver i iOS 7.1.

Med udgivelsen af ​​iOS 8 Apple har afsløret 53 sårbarheder som er rettet i den nye version.

De mest alvorlige sårbarheder ville gøre det muligt for en hacker at udføre kode på enheden med root-rettigheder. Flere andre tillader udførelse af kode med kerne- eller systemrettigheder. Disse sårbarheder kræver evnen til at udføre kode på enheden, men det kan opnås med en af ​​de mange sårbarheder ved fjernudførelse af kode, der også er afsløret. Mange af disse er i Webkit-browsermotoren, hvilket betyder, at et sådant angreb kan blive lanceret, hvis brugeren besøgte en ondsindet webside.

Læs mere om iOS 8

  • Seks grunde til, hvorfor du ikke straks bør opgradere til iOS 8
  • iOS 8 crash rate 78 procent højere end iOS 7
  • 31 måder at forbedre din iPhones batterilevetid på
  • Hvad er rigtigt (og forkert) med iOS 8
  • Apple trækker iOS 8.0.1-opdatering, efter at have dræbt celleservice, Touch ID

Disse problemer, mange af dem alvorlige, forbliver i tidligere versioner af iOS. Det er Apples sædvanlige praksis ikke at rette dem på tidligere versioner, så brugere, der forbliver på iOS 7.x, forbliver sårbare over for disse problemer.

Mindre chokerende, men stadig alvorlig er muligheden for et useriøst adgangspunkt til at stjæle iOS Wi-Fi-legitimationsoplysninger ved hjælp af en gammel og ødelagt godkendelsesprotokol, som var slået til som standard i iOS. Protokollen (LEAP) er som standard deaktiveret i iOS 8.

En anden fejl kunne tillade en angriber med skriveadgang til /tmp at installere ubekræftede apps. Adskillige sårbarheder giver en app mulighed for at slukke for enheden eller genstarte den.

Andre sårbarheder er alvorlige, hvis ikke så alvorlige som dem, der allerede er beskrevet. De kan give angribere adgang til følsomme oplysninger såsom logfiler eller brugerens Apple-id. Flere tillader angribere at bestemme kernehukommelseskarakteristika og omgå beskyttelser såsom ASLR (Address Space Layout Randomization).

Mange af de mest alvorlige sårbarheder blev afsløret til Apple af Ian Beer fra Google Project Zero. Øl står for seks af sårbarhederne samlet set.

Et andet fællestræk ved Apples afsløringer er, at de ofte involverer sårbarheder, som er ret gamle. Fire af disse 53 sårbarheder stammer fra 2013, nogle af dem alvorlige. CVE-2013-5227, for eksempel involverede to metoder, hvormed Safari ville sende brugernavne og adgangskoder til det forkerte websted. Det var afsløret af Apple i december 2013, men kun rettet i OS X på det tidspunkt.