Apple verhelpt drie actief aangevallen zerodaylekken in macOS en iOS
vrijdag 19 mei 2023, 09:37 door Redactie, 2 reacties
Apple heeft drie actief aangevallen zerodaylekken in macOS en iOS verholpen die onder andere door Amnesty International
en Google waren gevonden en gerapporteerd. Twee van de drie kwetsbaarheden werden door de onlangs verschenen
Rapid Security Response-updates voor macOS Ventura, iOS en iPadOS verholpen. Destijds werd er echter door Apple nog
geen informatie over de beveiligingslekken gegeven.
De drie beveiligingslekken bevinden zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en
iPadOS zijn verplicht om van WebKit gebruik te maken. Via één van de kwetsbaarheden in WebKit (CVE-2023-32373) kan
een aanvaller door middel van een drive-by download, waarbij alleen het bezoeken van een malafide of gecompromitteerde
website of het te zien krijgen van besmette advertenties, willekeurige code op toestellen uitvoeren.
Daarnaast is het mogelijk om uit de content-sandbox van de browser te breken (CVE-2023-32409) of gevoelige informatie te
achterhalen (CVE-2023-28204). Details over de aanvallen zijn niet door Apple gegeven. Onlangs kwam Apple voor het eerst
met Rapid Security Response-updates voor macOS Ventura, iOS en iPad, die CVE-2023-28204 en CVE-2023-32373 verhelpen.
Rapid Security Response-updates zijn patches voor actief aangevallen kwetsbaarheden die buiten de normale updates worden
aangeboden. Daarnaast zullen de betreffende fixes ook onderdeel van de normale software-update zijn.
Gebruikers die tegen alle drie de zerodaylekken beschermd willen zijn, moeten updaten naar iOS en iPadOS 16.5,
macOS Ventura 13.4 of Safari 16.5 voor macOS Big Sur en macOS Monterey.
Bron: