image

Apple verhelpt actief aangevallen zerodaylekken in iOS en macOS

donderdag 18 augustus 2022, 09:33 door Redactie, 12 reacties

Apple heeft beveiligingsupdates uitgebracht voor twee actief aangevallen zerodaylekken in iOS en macOS. Via de kwetsbaarheden zou een aanvaller volledige controle over het systeem kunnen krijgen. De eerste kwetsbaarheid, CVE-2022-32893, bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Daarnaast maakt Safari op macOS gebruik van WebKit.

Door alleen een kwaadaardige of gecompromitteerde website te bezoeken of een besmette advertentie te zien kan een aanvaller willekeurige code op het systeem uitvoeren. Er is geen verdere interactie van gebruikers vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. De tweede kwetsbaarheid, CVE-2022-32894, is aanwezig in de kernel van iOS, iPadOS en macOS.

Dit beveiligingslek geeft een aanvaller die al toegang tot het systeem heeft, of een malafide applicatie, de mogelijkheid om kernelrechten te krijgen. Via alleen deze kwetsbaarheid is het niet mogelijk om systemen op afstand over te nemen, maar het is mogelijk om CVE-2022-32893 en CVE-2022-32894 te combineren. Daarmee krijgt een aanvaller volledige controle over het systeem.

Beide kwetsbaarheden werden door een anonieme beveiligingsonderzoeker aan Apple gerapporteerd. Gebruikers wordt aangeraden om te updaten naar macOS Monterey 12.5.1 en iOS/iPadOS 15.6.1. Dit kan via ingebouwde updatefunctie of de Mac Appstore en het geval van iPhones en iPads via iTunes. Apple heeft geen details over de aanvallen gegeven.

Reacties (12)
18-08-2022, 10:13 door Anoniem
Hoe is het in hemelsnaam mogelijk dat een app welke in een sandbox in een sandbox draait kernel rechten kan krijgen, behalve dat dit zo opzettelijk geprogrammeerd is voor zeg, ehm, NSA of Pegasus ofzo...
Zodat ze een app kunnen forceren die de telefoon uit leest, of zeg, microfoon en camera kan aanzetten remote?
18-08-2022, 10:23 door Anoniem
En vanaf welke versie van MacOS zit deze kwetsbaarheid in het systeem??
18-08-2022, 11:28 door Anoniem
Door Anoniem: Hoe is het in hemelsnaam mogelijk dat een app welke in een sandbox in een sandbox draait kernel rechten kan krijgen, behalve dat dit zo opzettelijk geprogrammeerd is voor zeg, ehm, NSA of Pegasus ofzo...
Zodat ze een app kunnen forceren die de telefoon uit leest, of zeg, microfoon en camera kan aanzetten remote?

Apple kan ook meekijken op afstand als je ze belt voor support. Al die extra vreemde toevoegingen aan iOS geeft alleen maar meer kwetsbaarheden.
18-08-2022, 11:32 door Anoniem
Apple, Google, Microsoft etc, ze krijgen hun systemen niet blijvend veilig.
Lopen continu achter de feiten aan.
Maar ons voortbestaan hangt inmiddels wel af van deze digitale infrastructuren.
En dit wordt tevens onze ondergang.
18-08-2022, 11:48 door Anoniem
Door Redactie: Door alleen een kwaadaardige of gecompromitteerde website te bezoeken of een besmette advertentie te zien kan een aanvaller willekeurige code op het systeem uitvoeren.

Een voorbeeld van een drive-by attack waarvan iedere willekeurige Apple gebruiker het slachtoffer kon worden.
18-08-2022, 13:50 door Anoniem
Door Anoniem: Apple, Google, Microsoft etc, ze krijgen hun systemen niet blijvend veilig.

Er bestaan veiliger systemen (Minix, Qubes en Graphene), maar die systemen vergen voor de gemiddelde kantoorklerk, die met Windows is opgegroeid, een te kostbare en tijdrovende herscholing, terwijl de verwende macOS gebruiker thuis niets liever doet dan zonder enig technisch benul icoontjes en knopjes aan te klikken.

Merk op dat in het genoemde rijtje van drie alternatieven Linux niet wordt genoemd, want ook de Linux desktops zijn in veel opzichten technisch achterhaald. We zullen het dus voorlopig moeten stellen met een achterhaalde techniek, todat er iets beters voorhanden is, dat ook nog eenvoudig te installeren is en idealiter door de leek te bedienen valt.

https://www.security.nl/posting/762905/Digitale+basisvaardigheden?
18-08-2022, 16:07 door Joep Lunaar
Door Anoniem: Apple kan ook meekijken op afstand als je ze belt voor support. Al die extra vreemde toevoegingen aan iOS geeft alleen maar meer kwetsbaarheden.
Waar heb je dat vandaan ? Graag een bron voor deze wijsheid.
18-08-2022, 17:24 door Anoniem
Door Joep Lunaar:
Door Anoniem: Apple kan ook meekijken op afstand als je ze belt voor support. Al die extra vreemde toevoegingen aan iOS geeft alleen maar meer kwetsbaarheden.
Waar heb je dat vandaan ? Graag een bron voor deze wijsheid.

Dat zeg ik. Als je ze belt en vraagt of mee te kijken sturen ze een verzoek naar je toestel. Met je BroN. Zoek het zelf op, luilak.
18-08-2022, 19:29 door Anoniem
Door Anoniem: Apple, Google, Microsoft etc, ze krijgen hun systemen niet blijvend veilig.
Lopen continu achter de feiten aan.
Maar ons voortbestaan hangt inmiddels wel af van deze digitale infrastructuren.
En dit wordt tevens onze ondergang.


Ik denk dat het bewaarheid wordt wat U zegt.
We hebben alles te veel aan het Internet gehangen,geautomatiseerd.
De mens is slaaf geworden alleen denkt hij/zij dat hij vrij is.
Ik denk dat de Russen/Noor-Koreanen/Chinezen het liefst zien dat een totale crash gaat plaatsvinden.

Tegen het "Amerikaanse Internet"voor hun eigen onvrije systemen.
We zullen het meemaken.
De overheid heeft ook geen tegenmacht meer tegenover alle grote tech-bedrijven.
Ze hebben jarenlang gefaciliteerd,ze is nu uitgeput door alle crises.
19-08-2022, 10:50 door Anoniem
Door Anoniem: Apple, Google, Microsoft etc, ze krijgen hun systemen niet blijvend veilig.
Lopen continu achter de feiten aan.
Maar ons voortbestaan hangt inmiddels wel af van deze digitale infrastructuren.
En dit wordt tevens onze ondergang.

Lekker kort door de bocht die reactie lol. Inbrekers komen ook altijd huizen binnen met nieuwe handelingen.
19-08-2022, 12:50 door karma4
Door Anoniem:
Door Anoniem: Apple, Google, Microsoft etc, ze krijgen hun systemen niet blijvend veilig.
Lopen continu achter de feiten aan.
Maar ons voortbestaan hangt inmiddels wel af van deze digitale infrastructuren.
En dit wordt tevens onze ondergang.

Lekker kort door de bocht die reactie lol. Inbrekers komen ook altijd huizen binnen met nieuwe handelingen.
Natuurlijk kort door de bocht. Een raam inslaan daar helpt geen enkel beste slot op een deur tegen.

Inderdaad systemen welke je gebruikt zijn nooit blijvend veilig te krijgen. Je zult met risico's moeten blijven omgaan war de zwakste schakel nog altijd de mens is. Zowel als beslissend (top executieve) dan wel in de uitvoerende rol. -> 42
19-08-2022, 17:02 door Anoniem
Door Anoniem:
Door Anoniem: Apple, Google, Microsoft etc, ze krijgen hun systemen niet blijvend veilig.
Lopen continu achter de feiten aan.
Maar ons voortbestaan hangt inmiddels wel af van deze digitale infrastructuren.
En dit wordt tevens onze ondergang.

Lekker kort door de bocht die reactie lol. Inbrekers komen ook altijd huizen binnen met nieuwe handelingen.


De impact van een inbraak in een pand is wel van een andere orde dan die van een inbraak in het computersysteem van bijvoorbeeld een ziekenhuis of een elektriciteitscentrale of een wapensysteem.
De inbraak in een gebouw zal ons voortbestaan niet bedreigen.
Een inbraak in onze digitale infrastructuur kan wel degelijk tot totale chaos en uiteindelijk onze ondergang leiden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.