Kwetsbaarheden in iOS en iPadOS maken remote code execution mogelijk
Verschillende kwetsbaarheden in iOS en iPadOS maken het mogelijk voor aanvallers om op afstand code op kwetsbare iPhones en iPads uit te voeren. Alleen het bezoeken van een malafide website is voldoende. Er is geen verdere interactie van gebruikers vereist. Apple heeft iOS 14.6 eniPadOS 14.6 uitgebracht om de beveiligingslekken te verhelpen.
Met de updates worden minimaal 43 kwetsbaarheden in beide besturingssystemen opgelost. Het is in het verleden vaker voorgekomen dat Apple op een later moment meldt dat er meer beveiligingslekken zijn verholpen dan eerder werd aangekondigd. Meerdere van de nu verholpen lekken bevinden zich in WebKit, de door Apple ontwikkelde browser-engine waar Safari en alle andere browsers op iOS gebruik van maken.
Het verwerken van malafide webcontent door de browser maakt het mogelijk voor een aanvaller om willekeurige code op het systeem van de gebruiker uit te voeren. Dergelijke kwetsbaarheden zijn via een drive-by download te misbruiken, waarbij het bezoeken van een gecompromitteerde of malafide website volstaat om te worden aangevallen. Ook het openen van een malafide afbeelding of audiobestand maakt het uitvoeren van code mogelijk.
Verder is het mogelijk voor malafide apps om kernel- en rootrechten te krijgen, kunnen iPhones en iPads ongeldige activatieresultaten accepteren, is het mogelijk om afgeschermde informatie via het lockscreen te achterhalen en kan een aanvaller in de buurt gebruikers een minder veilige wifi-authenticatie laten gebruiken. Updaten naar de nieuwste versie van iOS en iPadOS kan via de updatefunctie of iTunes.
Aan het zeiken om het zeiken?
Kijk zelf even bij Apple.
Aan het zeiken om het zeiken?
Kijk zelf even bij Apple.
Aan het zeiken om het zeiken?
Kijk zelf even bij Apple.
This document lists security updates for Apple software
https://support.apple.com/en-us/HT201222
About the security content of iOS 14.6 and iPadOS 14.6
https://support.apple.com/en-us/HT212528
Aan het zeiken om het zeiken?
Kijk zelf even bij Apple.
This document lists security updates for Apple software
https://support.apple.com/en-us/HT201222
About the security content of iOS 14.6 and iPadOS 14.6
https://support.apple.com/en-us/HT212528
Aan het zeiken om het zeiken?
Kijk zelf even bij Apple.
This document lists security updates for Apple software
https://support.apple.com/en-us/HT201222
About the security content of iOS 14.6 and iPadOS 14.6
https://support.apple.com/en-us/HT212528
Jawel.
WebKit
Impact: Processing maliciously crafted web content may lead to arbitrary code execution
En als je nog een verdere uitleg nodig hebt
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Shortened into contemporary jargon, that means “drive-by, web-based zero-day RCE exploit.”
Drive-by attacks
Drive-by means that just visiting a website and viewing it is enough to trigger the bug, so you only need to be lured onto a booby-trapped site to take a look.
The crooks don’t need to lure you in and then also convince you to download and run a file, or to install a browser plugin, or to enter loads of personal data into an online form you didn’t expect.
Web-based means that the attack can happen right inside your browser, despite all the sandboxing and other protection that is supposed to keep browsing safe.
https://nakedsecurity.sophos.com/2021/05/04/apple-products-hit-by-fourfecta-of-zero-day-exploits-patch-now/
https://sneak.berlin/20210202/macos-11.2-network-privacy/
Aan het zeiken om het zeiken?
Kijk zelf even bij Apple.
This document lists security updates for Apple software
https://support.apple.com/en-us/HT201222
About the security content of iOS 14.6 and iPadOS 14.6
https://support.apple.com/en-us/HT212528
Jawel.
WebKit
Impact: Processing maliciously crafted web content may lead to arbitrary code execution
En als je nog een verdere uitleg nodig hebt
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Shortened into contemporary jargon, that means “drive-by, web-based zero-day RCE exploit.”
Drive-by attacks
Drive-by means that just visiting a website and viewing it is enough to trigger the bug, so you only need to be lured onto a booby-trapped site to take a look.
The crooks don’t need to lure you in and then also convince you to download and run a file, or to install a browser plugin, or to enter loads of personal data into an online form you didn’t expect.
Web-based means that the attack can happen right inside your browser, despite all the sandboxing and other protection that is supposed to keep browsing safe.
https://nakedsecurity.sophos.com/2021/05/04/apple-products-hit-by-fourfecta-of-zero-day-exploits-patch-now/
https://sneak.berlin/20210202/macos-11.2-network-privacy/
Ik denk dat jij dit stukje niet gelezen hebt in het artikel:
https://sneak.berlin/20210202/macos-11.2-network-privacy/
Ik denk dat jij dit stukje niet gelezen hebt in het artikel:
In één geciteerde zin de woorden 'tjokvol' en 'minste' aanhalen, in een poging om je vermeende gelijk te behalen. Dat wijst op cognitieve dissonantie. Als voormalig Apple liefhebber en programmeur begrijp ik je emotionele dilemma. Het is moeilijk te erkennen dat Apple, Inc. gewoon een ordinaire laisser-faire kapitalist is. Dat het zorgvuldig gecultiveerde Apple imago van de creatieve, onafhankelijk denkende gebruiker slechts een ijle luchtspiegeling is. Het is zo doorzichtig.
https://sneak.berlin/20210202/macos-11.2-network-privacy/
Ik kom nog maar zelden op security.nl, maar het doet me echt verdriet dat als ik dan eens een keer kom buurten nog steeds dit soort posts aan tref. Van mij mag je best een hekel hebben aan Apple, er zijn genoeg dingen die ik ook een weinig triest vind aan hun producten. Even goed vind ik het toch wel plezierig dat ik anno 2021 nog steeds minimaal aandacht hoef te besteden aan veiligheid en privacy op mijn Apple ecosysteempje. Allemaal tijd die ik aan leukere dingen kan besteden, gewoon omdat Apple op degelijke wijze doet wat ik waarschijnlijk zelf niet beter zou kunnen zonder net zo'n zenuwenlijer te worden als anoniem.
Gelijk is een bult, zei m'n grootmoeder vroeger. Wat ze daar nu precies mee bedoelde weet ik nog steeds niet, maar ik stel voor dat je lekker met je bult gaat spelen. Een glasheldere win-win situatie voor ons allemaal lijkt me!
On-topic: Ja, iedereen heeft gelijk en ook ik zou het handig vinden als er links naar bronnen in berichten staan. Gewoon om de lezer de moeite te besparen die zelf op te moeten zoeken. Ik denk dat het uiteindelijk meer oplevert dat het risico dat een bezoeker van de site wegdwaalt.
De minimale individuele eisen die jij stelt, zijn niet van toepassing op andere mogelijk kwetsbare groepen, mensen die beroepshalve, door hun politieke engagement of uit bittere noodzaak veel hogere eisen moeten stellen:
https://www.theguardian.com/news/2021/jul/19/how-does-apple-technology-hold-up-against-nso-spyware
dinsdag 17 mei 2022, 10:15 door Redactie
https://www.security.nl/posting/753765/Kritiek+lek+in+iOS+en+macOS+laat+remote+aanvaller+willekeurige+code+uitvoeren
dinsdag 15 november 2022, 10:39 door Redactie
https://www.security.nl/posting/774540/Apple+in+VS+aangeklaagd+voor+het+illegaal+tracken+van+appgebruik
Onderzoek: door Apple verzamelde iPhone-gebruiksdata niet anoniem
dinsdag 22 november 2022, 09:41 door Redactie
https://www.security.nl/posting/775291/Onderzoek%3A+door+Apple+verzamelde+iPhone-gebruiksdata+niet+anoniem
dinsdag 10 januari 2023, 10:02 door Redactie
https://www.security.nl/posting/780828/Apple+in+VS+aangeklaagd+voor+%22stelselmatige+privacyschendingen%22
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.