Apple heeft beveiligingsupdates beschikbaar gemaakt voor een actief aangevallen zerodaylek in iOS, iPadOS en macOS. Twee weken geleden kwam het techbedrijf vanwege een zeroday-aanval ook al met patches. Via het beveiligingslek kan een aanvaller willekeurige code op systemen uitvoeren, waarbij alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een malafide advertentie voldoende is.
De kwetsbaarheid, aangeduid als CVE-2022-22620, bevindt zich in WebKit. Dit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om gebruik te maken van WebKit. Door het verwerken van malafide webcontent ontstaat er een "use after free" kwetsbaarheid en is het uitvoeren van willekeurige code op het systeem mogelijk. Hiervoor is geen interactie van de gebruiker vereist, behalve het bezoeken van bijvoorbeeld een compromitteerde website. Dit wordt ook wel een drive-by download genoemd.
Apple heeft nu beveiligingsupdates voor Safari, macOS Monterey en iOS en iPadOS uitgebracht. Details over de waargenomen aanvallen zijn niet gegeven. Vorig jaar kwam Apple met beveiligingsupdates voor in totaal zeventien zerodaylekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.