Apple verhelpt zerodaylekken gebruikt bij aanvallen tegen iPhones en Macs
Apple heeft gisterenavond meerdere zerodaylekken verholpen die zijn gebruikt bij aanvallen tegen iPhones en Macs, aldus het techbedrijf. Via de kwetsbaarheden is het mogelijk om volledige controle over toestellen te krijgen. In het geval van iOS en iPadOS 15 gaat het om een beveiligingslek in de kernel (CVE-2023-38606) waardoor een aanvaller of malafide app code met kernelrechten kunnen uitvoeren en een kwetsbaarheid in WebKit (CVE-2023-32409) die het voor een aanvaller mogelijk maakt om uit de Web Content sandbox te breken. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken.
In iOS en iPadOS 16 verhielp Apple naast CVE-2023-38606 ook CVE-2023-37450, een kwetsbaarheid in WebKit waardoor een aanvaller willekeurige code kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van besmette advertenties is voldoende voor een aanvaller om misbruik van het lek te maken. Dergelijke aanvallen worden ook wel een drive-by download genoemd.
Voor CVE-2023-37450 was Apple eerder al met een Rapid Security Response gekomen. Rapid Security Responses zijn patches voor actief aangevallen kwetsbaarheden die Apple buiten de normale updates aanbiedt. Daarnaast zullen de betreffende fixes ook onderdeel van de volgende normale software-update zijn. Iets wat Apple met iOS 16.6 en iPadOS 16.6 heeft gedaan. Daarnaast zijn gebruikers van iOS en iPadOS 15 nu ook beschermd tegen CVE-2023-32409. De Rapid Security Response die Apple eerder uitbracht was alleen beschikbaar voor iOS en iPadOS 16.
Spyware
Het beveiligingslek in de iOS-kernel (CVE-2023-38606) werd gevonden door onderzoekers van antivirusbedrijf Kaspersky. De virusbestrijder stelt dat de kwetsbaarheid is ingezet bij een jarenlange campagne waarbij iPhones via een reeks kwetsbaarheden met spyware werden besmet. Het ging om een "0-click exploit chain", waarbij geen enkele interactie van slachtoffers was vereist om geïnfecteerd te worden.
In iOS en iPadOS 16 zijn in totaal 26 kwetsbaarheden verholpen. Het gaat onder andere om een kwetsbaarheid die de Nederlandse beveiligingsonderzoeker Thijs Alkemade ontdekte en het mogelijk maakt voor een malafide app om uit de sandbox te breken. Ook werd een beveiligingslek in Find My opgelost waardoor malafide apps gevoelige locatiegegevens kunnen uitlezen. Updaten naar de nieuwste versies van iOS en iPadOS kan via de updatefunctie en iTunes.
MacOS
Met macOS Ventura 13.5 heeft Apple 42 kwetsbaarheden verholpen, waaronder ook CVE-2023-38606 en CVE-2023-37450. In het geval van CVE-2023-38606 vermeldt Apple dat het lek alleen tegen iOS is ingezet. Net als bij iOS en iPadOS gaat het ook bij macOS om meerdere kwetsbaarheden die "arbitrary code execution" mogelijk maken. Naast Ventura verschenen ook voor Big Sur en Monterey updates. Gebruikers wordt dan ook aangeraden om de nieuwe versie te installeren.
Zonder bronvermelding kan jouw mededeling geen waarde toekomen. De fout kan al dan niet ongelukkig zijn - de meeste veiligheidsgebreken in programmatuur zijn dat. Een oppervlakkig vermoeden van "zo ongelukkig" is te mager om iets dan als moedwillige fout te bestempelen.
Het bovendien anoniem vermengen van een mening met vermeende feiten zonder bronmelding kwalificeert in velerlei opzichten als nepnieuws. Ugh ik heb gezegd.
Zonder bronvermelding kan jouw mededeling geen waarde toekomen. De fout kan al dan niet ongelukkig zijn - de meeste veiligheidsgebreken in programmatuur zijn dat. Een oppervlakkig vermoeden van "zo ongelukkig" is te mager om iets dan als moedwillige fout te bestempelen.
Het bovendien anoniem vermengen van een mening met vermeende feiten zonder bronmelding kwalificeert in velerlei opzichten als nepnieuws. Ugh ik heb gezegd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.