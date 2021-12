Apple heeft een beveiligingsupdate voor iOS 15 uitgebracht waarmee meerdere kwetsbaarheden worden verholpen, waaronder een beveiligingslek waardoor een aanvaller met fysieke toegang wachtwoorden kan bekijken en twee remote jailbreaks die in oktober van dit jaar werd gedemonstreerd en een aanvaller op afstand toegang tot het toestel geeft.

Met iOS 15.2 en iPadOS 15.2 zijn in totaal 42 kwetsbaarheden opgelost. Verschillende beveiligingslekken in ColorSync, CoreAudio, ImageIO laten een aanvaller code op een iPhone of iPad uitvoeren als er een kwaadaardige afbeelding of audiobestand wordt verwerkt. Verder zijn verschillende kwetsbaarheden in WebKit opgelost, de door Apple ontwikkelde browser-engine waar Safari en alle andere browsers op iOS gebruik van maken. Alleen door het bezoeken van een malafide of gecompromitteerde website is "arbitrary code execution" mogelijk. Er is geen interactie van de gebruiker vereist. Een aanvaller kan op deze manier een drive-by download-aanval uitvoeren.

Verder zijn er verschillende kwetsbaarheden verholpen waardoor remote jailbreaks mogelijk zijn. Tijdens de TianfuCup die afgelopen oktober in China plaatsvond lieten twee verschillende onderzoeksteams, die van Team Pangu en Kunlun Lab, onafhankelijk van elkaar zien hoe ze een iPhone op afstand konden compromitteren en jailbreaken, waarbij alleen het bezoeken van een kwaadaardige website volstond. Voor hun demonstratie ontvingen de onderzoekers een beloning van 300.000 dollar.

Apple is ook met een oplossing gekomen voor verschillende beveiligingslekken die zich voordoen wanneer een aanvaller fysieke toegang tot een iPhone of iPad heeft. Zo is het mogelijk om op een vergrendeld toestel contacten te bekijken. Een kwetsbaarheid in Password Manager maakt het mogelijk voor een persoon met fysieke toegang om zonder authenticatie toegang tot opgeslagen wachtwoorden te krijgen. Updaten naar iOS 15.2 en iPadOS 15.2 kan via de automatische updatefunctie en iTunes.