Apple heeft twee actief aangevallen zerodaylekken ook in oudere iPhones en Macs verholpen. Bij een vorige zeroday-aanval moesten eigenaren van oudere toestellen nog weken wachten op een patch. De Amerikaanse overheid heeft federale overheidsinstanties opgedragen om de kwetsbaarheden voor 1 mei te patchen.

Afgelopen vrijdag 7 april kwam Apple met updates voor macOS Ventura, iOS en iPadOs 16 en Safari. De updates verhelpen twee kwetsbaarheden in IOSurfaceAccelerator (CVE-2023-28206) en WebKit (CVE-2023-28205), de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via de kwetsbaarheid in WebKit kan een aanvaller door middel van een drive-by download, waarbij alleen het bezoeken van een malafide of gecompromitteerde websites of het te zien krijgen van besmette advertenties, willekeurige code op toestellen uitvoeren.

Het beveiligingslek in IOSurfaceAccelerator maakt het mogelijk voor een malafide app om willekeurige code met kernelrechten uit te voeren. Zo kan er volledige controle over het apparaat worden verkregen. De beveiligingslekken zijn zeer vermoedelijk in tandem gebruikt, waarbij een aanvaller eerst via het lek in WebKit toegang krijgt en vervolgens via de kwetsbaarheid in IOSurfaceAccelerator zijn rechten verhoogt.

Beide beveiligingslekken werden gevonden en gerapporteerd door onderzoekers van Amnesty International en Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Onlangs kwamen zowel Amnesty als Google met een rapport over het gebruik van zerodaylekken om Android- en iOS-gebruikers met spyware te infecteren.

Gisteren kwam Apple met updates voor macOS Big Sur, macOS Monterey en iOS en iPadOS 15. MacOS Monterey is niet voor alle macOS beschikbaar, wat ook geldt voor iOS en iPadOS 16. Daarom is Apple nu met iOS 15.7.5 en iPadOS 15.7.5 voor de iPhone 6s, iPhone 7, iPhone SE, iPad Air 2, iPad mini (vierde generatie) en iPod touch (zevende generatie) gekomen. Op 13 februari kwam Apple ook met een update voor een zeroday in iOS. Die verscheen pas 27 maart voor oudere iPhones met iOS 15.

Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft de bevoegdheid om federale overheidsinstanties te dwingen om actief aangevallen kwetsbaarheden voor een bepaalde datum te patchen. In het geval van de iOS- en macOS-kwetsbaarheden moet dit voor 1 mei zijn gebeurd.