[JustisCERT-varsel] [#006-2022] [TLP:CLEAR] 0-dagssårbarheter i flere Apple-produkter

JustisCERT ønsker å varsle om 2 stk 0-dagssårbarheter (CVE-2022-22587 og CVE-2022-22594) som berører flere av Apple sine produkter. Sårbarheten CVE-2022-22587 (CVSS-score 8.4) tillater en ondsinnet applikasjon i å kjøre vilkårlig kode med kjerneprivilegier. Apple har i tillegg rettet 7 andre sårbarheter i watchOS, 8 som berører iOS, iPadOS og tvOS samt 11 som berører macOS. Flere av sårbarhetene er kategorisert som alvorlige.

Apple har publisert oppdateringer for berørte produkter [1].

Berørte produkter er blant annet:

• Apple iOS < 15.3 (iPhone 6s og nyere)
• Apple iPadOS < 15.3
• Apple macOS Catalina < Security Update 2022-001
• Apple macOS Big Sur < 11.6.3
• Apple macOS Monterey < 12.2
• Apple tvOS < 15.3
• Apple watchOS < 8.4
• Safari < 15.3

Anbefalinger:

• Patch/oppdater programvare som benyttes
• Erstatt enheter som ikke lenger får sikkerhetsoppdateringer og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Benytt en Mobile Device Management (MDM)-løsning for å sikre enheter og data på best mulig måte vha. blant annet:
  • Hindre at utdaterte enheter kan nå virksomhetens ressurser
  • Hindre jailbreak/rootede enheter i å nå virksomhetens ressurser

 

Kilder:
[1] https://support.apple.com/en-us/HT201222