Een kwetsbaarheid in de kernel van iOS waarvoor eind 2022 beveiligingsupdates verschenen is gebruikt om Apple-gebruikers mee aan te vallen, zo hebben Apple en de Amerikaanse overheid bekendgemaakt. Daarnaast heeft Apple de eerste beveiligingsupdate voor visionOS uitgebracht, het besturingssysteem dat op de Apple Vision Pro-headset draait.

De waarschuwing van Apple en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security betreft een kwetsbaarheid in de kernel van iOS, aangeduid als CVE-2022-48618. Via het beveiligingslek is het mogelijk om een beveiligingsmaatregel genaamd Pointer Authentication te omzeilen. Deze maatregel moet onverwachte aanpassingen van pointers in het geheugen, om zo objecten in het systeem te manipuleren, voorkomen. Dit wordt gedaan door pointers en return adressen te signeren. Deze signature wordt voor het uitvoeren van de pointers en return adressen gevalideerd.

Op 13 december 2022 kwam Apple met updates voor dit beveiligingslek. Op 9 januari 2024 meldde Apple dat aanvallers de kwetsbaarheid hebben misbruikt tegen iOS-versies voor iOS 15.7.1. Gisteren liet het CISA weten dat het bewijs heeft van actief misbruik van het beveiligingslek. Amerikaanse overheidsinstanties zijn opgedragen de updates waarmee het probleem wordt verholpen voor 21 februari te installeren. Details over de waargenomen aanvallen zijn niet gegeven.

Daarnaast heeft Apple ook de eerste beveiligingsupdate voor visionOS uitgebracht. De headset zal morgen verschijnen. Met visionOS 1.0.2 verhelpt Apple een actief aangevallen zerodaylek in WebKit (CVE-2024-23222), dat het eerder ook al in iOS en macOS verhielp, alsmede andere besturingssystemen. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken.