Apple heeft gisterenavond belangrijke beveiligingsupdates voor onder andere iOS, macOS en iTunes uitgebracht. IOS 11.3 verhelpt in totaal 43 kwetsbaarheden waardoor een aanvaller in het ergste geval willekeurige code op toestellen had kunnen uitvoeren als er een website werd bezocht.
Via andere verholpen beveiligingslekken had een aanvaller met fysieke toegang tot een iOS-toestel het voor iTunes ingestelde e-mailadres kunnen zien of Find My iPhone zonder het opgeven van een iCloud-wachtwoord kunnen uitschakelen. De feature is juist bedoeld om bijvoorbeeld gestolen iPhones terug te vinden. De kwetsbaarheid maakte het echter mogelijk voor een dief om de functie uit te schakelen zonder dat hij over het iCloud-wachtwoord van het slachtoffer beschikte.
Een ander kwetsbaarheid die in iOS 11.3 is opgelost maakte het mogelijk om via een man-in-the-middle-aanval de inhoud van met S/MIME versleutelde e-mail te onderscheppen. Ook bleek dat kwaadaardige websites zonder enige interactie van gebruikers informatie hadden kunnen stelen die Safari automatisch op een website invoert. Een ander probleem dat tot het verleden behoort liet een applicatie zonder rechten toetsaanslagen in andere applicaties opslaan, ook al werd er van de "secure input mode" gebruikgemaakt.
Voor Mac-gebruikers zijn macOS High Sierra 10.13.4, Security Update 2018-002 Sierra en Security Update 2018-002 El Capitan verschenen. Deze updates verhelpen in totaal 35 kwetsbaarheden. Zo was het onder andere mogelijk voor een kwaadaardige website om disk-images te mounten. Een andere kwetsbaarheid zorgde er weer voor dat er via de gemounte kwaadaardige disk-image een applicatie kon worden gestart. Tevens zijn er meerdere kwetsbaarheden gepatcht waardoor een kwaadaardige app code met kernelrechten had kunnen uitvoeren. Een ander lek liet een kwaadaardige app de verplichting voor gesigneerde code omzeilen.
Naast iOS en macOS zijn er ook updates voor iTunes, Safari, iCloud, Xcode, tvOS en watchOS verschenen. Via de verholpen kwetsbaarheden had een aanvaller in het ergste geval willekeurige code op het systeem kunnen uitvoeren. Gebruikers krijgen dan ook het advies om zo snel als mogelijk de updates te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.