[JustisCERT-varsel] [#039-2021] [TLP:CLEAR] 0-dagssårbarhet i Apple iOS 12.5.3

JustisCERT ønsker å varsle om 2 sårbarheter (CVE-2021-30761 og CVE-2021-30762) i Apple iOS 12.5.3. Sårbarhetene muliggjør kjøring av vilkårlig kode når enhetene besøker en ondsinnet nettside. Apple er kjent med at sårbarhetene aktivt blir utnyttet.

Apple har publisert oppdateringen iOS 12.5.4 som retter sårbarhetene [1]. JustisCERT gjør oppmerksom på at siste versjon av iOS/iPadOS/tvOS er 14.6 (pr 15.06.2021), og anbefaler at eldre enheter som ikke kan oppgraderes til siste versjon fases ut.

Berørte produkter er blant annet:

• Apple iOS < 12.5.4 (iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 og iPod touch 6. generasjon)

Anbefalinger:

• Avinstaller programvare som ikke benyttes
• Patch/oppdater programvare som benyttes
• Erstatt enheter som ikke lenger får sikkerhetsoppdateringer og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
• Benytt en Mobile Device Management (MDM)-løsning for å sikre enheter og data på best mulig måte vha. blant annet:
  • Hindre at utdaterte enheter kan nå virksomhetens ressurser
  • Hindre jailbreak/rootede enheter i å nå virksomhetens ressurser

 
Kilder:
[1] https://support.apple.com/en-us/HT201222