Nieuws
image

WebKit-lek kan gevoelige informatie van iPhone-gebruikers lekken

woensdag 30 juli 2025, 09:35 door Redactie, 6 reacties
Laatst bijgewerkt: 30-07-2025, 10:30

Apple heeft beveiligingsupdates voor iOS en iPadOS uitgebracht die meerdere kwetsbaarheden verhelpen, waaronder een lek in WebKit waardoor bij het bezoeken van een malafide of gecompromitteerde website gevoelige informatie van iPhone-gebruikers kan lekken, zo laat Apple weten. Het bedrijf maakt niet duidelijk om welke informatie het precies gaat. Ook een beveiligingslek met betrekking tot de privacy-indicator, die aangeeft dat een applicatie gebruik van de microfoon of camera maakt, is verholpen. Met iOS en iPad OS 18.6 zijn in totaal 29 kwetsbaarheden gepatcht.

WebKit-lekken

De meeste van de 29 beveiligingslekken zijn verholpen in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Verschillende van deze kwetsbaarheden kunnen tot een denial of service of het crashen van Safari leiden. Ook een probleem waardoor malafide websites de adresbalk kunnen spoofen is gepatcht. De meest impactvolle WebKit-kwetsbaarheid die remote te misbruiken is, is CVE-2025-43227. Bij het verwerken van malafide webcontent kan dit beveiligingslek ervoor zorgen dat gevoelige gebruikersinformatie lekt. Welke informatie dit precies is laat Apple echter niet weten.

Privacy-gerelateerde kwetsbaarheden

Tevens zijn een aantal privacy-gerelateerde beveiligingslekken gepatcht. Het gaat onder andere om een kwetsbaarheid in het Accessibility-onderdeel van iOS. Dit lek zorgt ervoor dat de privacy-indicator voor toegang tot microfoon of camera niet goed wordt weergegeven. Verdere details worden wederom niet door Apple gegeven. Een andere kwetsbaarheid in Accessibility kan ervoor zorgen dat de passcode van de gebruiker wordt voorgelezen door VoiceOver.

Apple heeft ook een lek in Mail Drafts opgelost dat ervoor kan zorgen dat remote content in e-mails wordt geladen, ook wanneer het laden van remote afbeeldingen staat uitgeschakeld. Op deze manier zouden trackingpixels in e-mailberichten informatie over de gebruiker kunnen verzamelen. Eigenaren van een iPhone of iPad worden door Apple opgeroepen om naar iOS of iPadOS 18.6 te updaten.

Reacties (6)
Reageer met quote
30-07-2025, 11:39 door Anoniem
Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken.

Dit is al een tijdje niet meer het geval.
Reageer met quote
30-07-2025, 12:07 door Anoniem
Door Anoniem:
Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken.

Dit is al een tijdje niet meer het geval.
En wat zegt A.I hierover?

Is het waar Grok, dat het verplicht is voor browsers in iOS om van webkit gebruik te maken?

Ja, dat is waar. Op iOS zijn alle browsers verplicht om gebruik te maken van WebKit, de rendering engine van Apple, vanwege de richtlijnen van Apple voor de App Store. Dit betekent dat browsers zoals Chrome, Firefox of Edge op iOS in feite een andere interface bieden, maar onderliggend de WebKit-engine gebruiken in plaats van hun eigen engines (zoals Blink voor Chrome of Gecko voor Firefox). Dit beleid zorgt ervoor dat Apple controle houdt over de beveiliging, prestaties en consistentie van webervaringen op iOS, maar het beperkt ook de mogelijkheden voor browserontwikkelaars om hun eigen technologieën volledig te benutten.
Dit geldt voor apps die worden gedistribueerd via de App Store. Als er echter wijzigingen in het beleid zijn na juli 2025, bijvoorbeeld door nieuwe regelgeving zoals de Digital Markets Act (DMA) in de EU, kan dit veranderen.
Reageer met quote
30-07-2025, 15:17 door Anoniem
Droef, dat WebKit. Wanneer wordt hier nu eens een grondige review van gedaan?
Reageer met quote
30-07-2025, 16:00 door Anoniem
Door Anoniem: Droef, dat WebKit. Wanneer wordt hier nu eens een grondige review van gedaan?

Ga je gang https://github.com/WebKit/WebKit.
Reageer met quote
30-07-2025, 16:48 door Anoniem
Maar na de update moet je steevast je iOS instellingen nalopen, vooral die van Safari. Zo had ik de standaard snelkoppelingen Apple, Bing en Google op de startpagina bij het instellen verwijderd. Daarnaast "Meld frauduleuze websites" = Google Save Browsing en Apple Pay uitgezet. Guess what, alles was weer teruggezet en stond weer ingeschakeld.

Tis nu wel overduidelijk dat Apple met z'n kop in de kont van Google zit.
Reageer met quote
30-07-2025, 18:29 door Anoniem
17.7.9 is ook uitgekomen voor oudere apparaten die 18.x niet kunnen draaien. Ook updates voor macOS en WatchOS. Meer info

https://support.apple.com/en-gb/100100
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure