Apple heeft beveiligingsupdates voor iOS uitgebracht die meerdere zerodaylekken, een kritiek bluetooth-lek en verschillende kwetsbaarheden die remote code execution (RCE) mogelijk maken verhelpen. Op 30 november kwam Apple al met updates voor twee zerodaylekken in iOS 17 die waren gebruikt voor het aanvallen van iPhones. Elf dagen later zijn de kwetsbaarheden ook in iOS 16 verholpen. Volgens Apple zijn de twee zerodays gebruikt bij het aanvallen van iPhones met een iOS-versie voor iOS 16.7.1.

De twee kwetsbaarheden, aangeduid als CVE-2023-42916 en CVE-2023-42917, bevinden zich in WebKit. Dit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via CVE-2023-42916 kan een aanvaller gevoelige gegevens stelen. CVE-2023-42917 laat een aanvaller willekeurige code uitvoeren. De twee kwetsbaarheden werden gevonden en gerapporteerd door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers.

Voor iOS en iPadOS 17 is daarnaast een bluetooth-kwetsbaarheid verholpen waarmee een aanvaller zich als toetsenbord kan voordoen, om vervolgens willekeurige commando's op het apparaat uit te voeren. Het beveiligingslek (CVE-2023-45866) werd eerder deze maand al door Google in Android gepatcht. Verder zijn er twee kwetsbaarheden in ImageIO en WebKit verholpen die een aanvaller code op het systeem laten uitvoeren als er malafide webcontent of afbeelding wordt verwerkt. Alleen het bezoeken van een gecompromitteerde of malafide website, het te zien krijgen van een besmette advertentie of openen van een malafide afbeelding is voldoende. Verdere interactie is niet vereist.

Verder is het via een kwetsbaarheid in de Find My-functionaliteit, waarmee het mogelijk is om verloren of gestolen iPhones en iPads te vinden, voor malafide apps mogelijk om gevoelige locatiegegevens te achterhalen. Daarnaast zorgt een beveiligingslek in Siri ervoor dat een aanvaller met fysieke toegang tot een iPhone of iPad via de stemassistent gevoelige gebruikersgegevens kan achterhalen. Gebruikers worden opgeroepen om te updaten naar iOS of iPadOS 17.2 of iOS of iPadOS 16.7.3.