Apple heeft opnieuw beveiligingsupdates uitgebracht voor actief aangevallen zerodaylekken in iOS en macOS. Het gaat dit keer om drie beveiligingslekken die het mogelijk maken om een toestel volledig over te nemen. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is hiervoor voldoende. Er is geen verdere interactie van gebruikers vereist. Dit wordt ook wel een drive-by download genoemd.

Het gaat om een zerodaylek in WebKit (CVE-2023-41993) dat het voor een aanvaller mogelijk maakt om via malafide webcontent willekeurige code uit te voeren. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via de tweede kwetsbaarheid (CVE-2023-41991) kan een malafide app de controle of het van een geldig digitaal certificaat is voorzien omzeilen. De derde zeroday bevindt zich in de kernel van iOS en macOS en maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om zijn rechten te verhogen.

De drie kwetsbaarheden werden gevonden door onderzoeker Bill Marczak van Citizen Lab en Maddie Stone van Googles Threat Analysis Group. Citizen Lab is een onderdeel van de universiteit van Toronto dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Ook doet het veel onderzoek naar het gebruik van spyware tegen activisten, journalisten en dissidenten. Googles Threat Analysis Group houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers.

Apple heeft de drie zerodays verholpen in iOS 16.7 en iPadOS 16.7, iOS 17.0.1 en iPadOS 17.0.1, macOS Monterey 12.7 en macOS Ventura 13.6. Details over de aanvallen zijn nog niet gegeven. Daarnaast verhelpen de nu uitgebrachte updates ook andere kwetsbaarheden, maar details daarover zal Apple later geven.