Apple beveiligingsupdates verhelpen 2 zero-days, gebruikt om iPhones, Macs te hacken

Apple-red..jpg


Door Lawrence Abrams

Apple heeft vandaag noodbeveiligingsupdates uitgebracht, om twee 'zero-day'-kwetsbaarheden te verhelpen die eerder door aanvallers
zijn misbruikt om iPhones, iPads of Macs te hacken.

Zero-day'-kwetsbaarheden zijn beveiligingslekken die bekend zijn bij aanvallers of onderzoekers voordat de softwareleverancier ze heeft
ontdekt of heeft kunnen patchen. In veel gevallen hebben zero-days openbare proof-of-concept-exploits of worden ze actief uitgebuit
in aanvallen.

Vandaag heeft Apple macOS Monterey 12.5.1 en iOS 15.6.1/iPadOS 15.6.1 uitgebracht om twee zero-day kwetsbaarheden te verhelpen
die naar verluidt actief zijn uitgebuit.

De twee kwetsbaarheden zijn hetzelfde voor alle drie de besturingssystemen, waarbij de eerste is getraceerd als CVE-2022-32894.
Deze kwetsbaarheid is een out-of-bounds write kwetsbaarheid in de kernel van het besturingssysteem.

De kernel is een programma dat werkt als de kerncomponent van een besturingssysteem en heeft de hoogste privileges in macOS,
iPadOS en iOS.

Een toepassing, zoals malware, kan deze kwetsbaarheid gebruiken om code met Kernel-privileges uit te voeren. Aangezien dit het
hoogste privilegeniveau is, zou een proces in staat zijn om elk commando op het apparaat uit te voeren, waardoor het in feite de
volledige controle over het apparaat krijgt.

De tweede zero-day kwetsbaarheid is CVE-2022-32893 en is een schrijflekkage buiten de grenzen in WebKit, de webbrowser-engine
die wordt gebruikt door Safari en andere apps die toegang tot het web kunnen krijgen.

Apple meldt dat een aanvaller door deze fout willekeurige code kan uitvoeren en dat deze fout, omdat het in de web engine zit,
waarschijnlijk op afstand kan worden uitgebuit door een kwaadwillig ontworpen website te bezoeken.

De bugs zijn gemeld door anonieme onderzoekers en zijn door Apple verholpen in iOS 15.6.1, iPadOS 15.6.1 en
macOS Monterey 12.5.1 met verbeterde bounds checking voor beide bugs.

De lijst van apparaten die door beide kwetsbaarheden zijn getroffen, is als volgt:
  • Macs met macOS Monterey
  • iPhone 6s en nieuwer
  • iPad Pro (alle modellen), iPad Air 2 en later, iPad 5e generatie en later, iPad mini 4 en later, en iPod touch (7e generatie).

Apple heeft actieve exploitatie in het wild bekendgemaakt, maar heeft geen aanvullende informatie over deze aanvallen vrijgegeven.

Waarschijnlijk zijn deze zero-days alleen gebruikt in gerichte aanvallen, maar het is nog steeds sterk aan te raden om de
beveiligingsupdates van vandaag zo snel mogelijk te installeren.


Zeven zero-days gepatcht door Apple dit jaar

In maart heeft Apple nog twee zero-day bugs gepatcht die werden gebruikt in de Intel Graphics Driver (CVE-2022-22674) en
AppleAVD (CVE-2022-22675) die ook konden worden gebruikt om code met Kernel-privileges uit te voeren.

In januari heeft Apple nog twee actief misbruikte zero-days gepatcht die aanvallers in staat stelden willekeurige code uit te voeren
met kernelprivileges (CVE-2022-22587) en webbrowsingactiviteiten en de identiteit van gebruikers in realtime te traceren (CVE-2022-22594).

In februari heeft Apple beveiligingsupdates uitgebracht om een nieuwe "zero-day"-bug te verhelpen die werd misbruikt om iPhones,
iPads en Macs te hacken, wat leidde tot crashen van het besturingssysteem en het op afstand uitvoeren van code op aangetaste apparaten
na het verwerken van kwaadaardig vervaardigde webinhoud.


Bron:
 
Terug
Bovenaan Onderaan