Apples Backports-rettelse for CVE-2025-43300 utnyttet i sofistikert spionprogramangrep. Ny FileFix-variant leverer StealC-skadevare gjennom flerspråklig phishing-nettsted. Phoenix RowHammer-angrep omgår avansert DDR5-minnebeskyttelse på 109 sekunder.
Apples Backports-rettelse for CVE-2025-43300 utnyttet i sofistikert spionprogramangrep
Apple har backportet en kritisk sikkerhetsoppdatering for CVE-2025-43300 (CVSS 8.8), en out-of-bounds write-sårbarhet i ImageIO som kan føre til minnekorrupsjon ved åpning av ondsinnede bildefiler. Sårbarheten er allerede aktivt utnyttet i svært sofistikerte spionvareangrep mot under 200 målrettede personer, ofte i kombinasjon med CVE-2025-55177 i WhatsApp. Opprinnelig fikset i iOS 18.6.2, iPadOS 18.6.2, macOS Ventura 13.7.8, Sonoma 14.7.8 og Sequoia 15.6.1, er oppdateringen nå også tilgjengelig for eldre enheter (iOS 16.7.12, 15.8.5 og tilsvarende iPadOS). Samtidig har Apple utgitt oppdateringer som retter en rekke andre sårbarheter (bl.a. i IOKit, LaunchServices, Safari, WebKit, AppSandbox, CoreAudio, Spotlight og Xcode).
Apple-brukere bør umiddelbart oppdatere til siste tilgjengelige versjon, inkludert eldre enheter som har fått backportede oppdateringer. Dette er spesielt kritisk for organisasjoner og individer med høy risiko for målrettede angrep.
Ny FileFix-variant leverer StealC-skadevare gjennom flerspråklig phishing-nettsted
En ny kampanje misbruker en variant av «FileFix» sosial-engineering-teknikken for å levere StealC-informasjonstyveri via svært overbevisende, flerspråklige phishing-sider (f.eks. falsk Facebook Security). Angrepet får offeret til å kopiere og lime inn en tilsynelatende harmløs filbane i File Explorer, men clipboard-innholdet er hijacket til en obfuskert PowerShell-kommando som laster ned et tilsynelatende bilde fra en Bitbucket-repo, dekoder det til neste fase og til slutt starter en Go-loader som laster shellcode og kjører StealC. Phishing-siden bruker anti-analyse, tung obfuskasjon og fragmentering; angriperne benytter også varianter som MSHTA-kall og weaponized AutoHotkey (AHK)-skript for å levere ytterligere verktøy (AnyDesk, TeamViewer, clipper/malware). Metoden unngår behov for å åpne Run-dialogen ved å utnytte nettleserens filopplastings/clipboard-funksjoner, noe som gjør det vanskeligere å oppdage via tradisjonelle policyer.
Phoenix RowHammer-angrep omgår avansert DDR5-minnebeskyttelse på 109 sekunder
Et forskerteam fra ETH Zürich og Google har avdekket en ny RowHammer-variant kalt Phoenix (CVE-2025-6202, CVSS 7.1) som påviselig omgår avanserte DDR5-beskyttelser (bl.a. TRR/on-die-ECC) på SK Hynix DDR5-brikker produsert i perioden 2021–2024. Forskerne demonstrerer en end-to-end privilege-escalation som kan gi root på en standard desktop-maskin med DDR5 på under 109 sekunder ved å utløse bit-flips gjennom utilstrekkelig sampling av visse oppfriskningsintervaller. Forskerne påpeker at DRAM-enheter i felten ikke kan oppdateres, og anbefaler økt oppfriskningsrate (3x i eksperimentet stoppet Phoenix-flipps).
Øk DRAM-refresh for kritiske systemer — forskerne rapporterer at ~3× refresh stoppet Phoenix i deres tester.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.