Apple verhelpt zerodaylekken gebruikt bij aanvallen tegen iPhones en Macs

detail.png

Apple verhelpt zerodaylekken gebruikt bij aanvallen tegen iPhones en Macs​


dinsdag 25 juli 2023, 09:56 door Redactie, 1 reacties

Apple heeft gisterenavond meerdere zerodaylekken verholpen die zijn gebruikt bij aanvallen tegen iPhones en Macs, aldus het techbedrijf. Via de kwetsbaarheden is het mogelijk om volledige controle over toestellen te krijgen. In het geval van iOS en iPadOS 15 gaat het om een beveiligingslek in de kernel (CVE-2023-38606) waardoor een aanvaller of malafide app code met kernelrechten kunnen uitvoeren en een kwetsbaarheid in WebKit (CVE-2023-32409) die het voor een aanvaller mogelijk maakt om uit de Web Content sandbox te breken. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken.

In iOS en iPadOS 16 verhielp Apple naast CVE-2023-38606 ook CVE-2023-37450, een kwetsbaarheid in WebKit waardoor
een aanvaller willekeurige code kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of
het te zien krijgen van besmette advertenties is voldoende voor een aanvaller om misbruik van het lek te maken.
Dergelijke aanvallen worden ook wel een drive-by download genoemd.

Voor CVE-2023-37450 was Apple eerder al met een Rapid Security Response gekomen. Rapid Security Responses zijn patches
voor actief aangevallen kwetsbaarheden die Apple buiten de normale updates aanbiedt. Daarnaast zullen de betreffende fixes
ook onderdeel van de volgende normale software-update zijn. Iets wat Apple met iOS 16.6 en iPadOS 16.6 heeft gedaan.
Daarnaast zijn gebruikers van iOS en iPadOS 15 nu ook beschermd tegen CVE-2023-32409. De Rapid Security Response die
Apple eerder uitbracht was alleen beschikbaar voor iOS en iPadOS 16.

Spyware​

Het beveiligingslek in de iOS-kernel (CVE-2023-38606) werd gevonden door onderzoekers van antivirusbedrijf Kaspersky.
De virusbestrijder stelt dat de kwetsbaarheid is ingezet bij een jarenlange campagne waarbij iPhones via een reeks kwetsbaarheden
met spyware werden besmet. Het ging om een "0-click exploit chain", waarbij geen enkele interactie van slachtoffers was vereist
om geïnfecteerd te worden.
In iOS en iPadOS 16 zijn in totaal 26 kwetsbaarheden verholpen. Het gaat onder andere om een kwetsbaarheid die de Nederlandse
beveiligingsonderzoeker Thijs Alkemade ontdekte en het mogelijk maakt voor een malafide app om uit de sandbox te breken.
Ook werd een beveiligingslek in Find My opgelost waardoor malafide apps gevoelige locatiegegevens kunnen uitlezen.
Updaten naar de nieuwste versies van iOS en iPadOS kan via de updatefunctie en iTunes.

MacOS​

Met macOS Ventura 13.5 heeft Apple 42 kwetsbaarheden verholpen, waaronder ook CVE-2023-38606 en CVE-2023-37450.
In het geval van CVE-2023-38606 vermeldt Apple dat het lek alleen tegen iOS is ingezet. Net als bij iOS en iPadOS gaat het ook bij
macOS om meerdere kwetsbaarheden die "arbitrary code execution" mogelijk maken. Naast Ventura verschenen ook voor Big Sur
en Monterey updates. Gebruikers wordt dan ook aangeraden om de nieuwe versie te installeren.


Bron:
 
Terug
Bovenaan Onderaan