Drie actief aangevallen zerodaylekken die Apple op 5 november in iOS en macOS Catalina verhielp zijn een week later ook in macOS Mojave en High Sierra verholpen. Daarnaast heeft Apple een beveiligingsupdate uitgebracht voor het deze week gelanceerde macOS Big Sur.
De zerodaylekken, CVE-2020-27930, CVE-2020-27932 en CVE-2020-27950, werden door Google ontdekt en tegen iPhone-gebruikers ingezet. CVE-2020-27930 betreft een kwetsbaarheid in de FontParser van het besturingssysteem. Het beveiligingslek zorgt ervoor dat door het verwerken van een speciaal geprepareerd font een aanvaller willekeurige code op het systeem kan uitvoeren. Via CVE-2020-27950 is het mogelijk voor een kwaadaardige applicatie om het kernelgeheugen uit te lezen, terwijl een kwaadaardige applicatie door middel van CVE-2020-27932 willekeurige code met kernelrechten kan uitvoeren.
Op 5 november kwam Apple met de macOS Catalina 10.15.7 Supplemental Update en macOS Catalina 10.15.7 Update waarmee de kwetsbaarheden werden verholpen. Gebruikers van macOS Mojave en High Sierra moesten het zonder update doen. Die is nu een week later uitgekomen. Security Update 2020-006 High Sierra en Security Update 2020-006 Mojave verhelpen de drie eerder genoemde zerodaylekken. De update is via de updatefunctie van macOS te downloaden.
Voor macOS-gebruikers die afgelopen donderdag op Big Sur overstapten, de nieuwste versie van Apples desktopbesturingssysteem, is ook een beveiligingsupdate verschenen. MacOS Big Sur 11.0.1 verhelpt in totaal zestig kwetsbaarheden waardoor een aanvaller in het ergste geval het systeem had kunnen overnemen. Door het verwerken van een kwaadaardig audiobestand, font, pdf-document, USD-bestand, webcontent of afbeelding is het mogelijk voor een aanvaller om op kwetsbare systemen willekeurige code uit te voeren. Big Sur 11.0.1 is te downloaden via de updatefunctie.
Deze posting is gelocked. Reageren is niet meer mogelijk.