Apple patcht actief aangevallen zerodays ook in oudere iPhones en Macs
Apple heeft twee actief aangevallen zerodaylekken ook in oudere iPhones en Macs verholpen. Bij een vorige zeroday-aanval moesten eigenaren van oudere toestellen nog weken wachten op een patch. De Amerikaanse overheid heeft federale overheidsinstanties opgedragen om de kwetsbaarheden voor 1 mei te patchen.
Afgelopen vrijdag 7 april kwam Apple met updates voor macOS Ventura, iOS en iPadOs 16 en Safari. De updates verhelpen twee kwetsbaarheden in IOSurfaceAccelerator (CVE-2023-28206) en WebKit (CVE-2023-28205), de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via de kwetsbaarheid in WebKit kan een aanvaller door middel van een drive-by download, waarbij alleen het bezoeken van een malafide of gecompromitteerde websites of het te zien krijgen van besmette advertenties, willekeurige code op toestellen uitvoeren.
Het beveiligingslek in IOSurfaceAccelerator maakt het mogelijk voor een malafide app om willekeurige code met kernelrechten uit te voeren. Zo kan er volledige controle over het apparaat worden verkregen. De beveiligingslekken zijn zeer vermoedelijk in tandem gebruikt, waarbij een aanvaller eerst via het lek in WebKit toegang krijgt en vervolgens via de kwetsbaarheid in IOSurfaceAccelerator zijn rechten verhoogt.
Beide beveiligingslekken werden gevonden en gerapporteerd door onderzoekers van Amnesty International en Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Onlangs kwamen zowel Amnesty als Google met een rapport over het gebruik van zerodaylekken om Android- en iOS-gebruikers met spyware te infecteren.
Gisteren kwam Apple met updates voor macOS Big Sur, macOS Monterey en iOS en iPadOS 15. MacOS Monterey is niet voor alle macOS beschikbaar, wat ook geldt voor iOS en iPadOS 16. Daarom is Apple nu met iOS 15.7.5 en iPadOS 15.7.5 voor de iPhone 6s, iPhone 7, iPhone SE, iPad Air 2, iPad mini (vierde generatie) en iPod touch (zevende generatie) gekomen. Op 13 februari kwam Apple ook met een update voor een zeroday in iOS. Die verscheen pas 27 maart voor oudere iPhones met iOS 15.
Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft de bevoegdheid om federale overheidsinstanties te dwingen om actief aangevallen kwetsbaarheden voor een bepaalde datum te patchen. In het geval van de iOS- en macOS-kwetsbaarheden moet dit voor 1 mei zijn gebeurd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.