Apple heeft beveiligingsupdates uitgebracht om oude iPhones en iPads tegen actief aangevallen kwetsbaarheden te beschermen. Onlangs werd bekend dat aanvallers de beveiligingslekken, waarvoor Apple al in 2023 en 2024 met updates kwam, op grote schaal misbruiken. Alleen het bezoeken van een gehackte of malafide website met een kwetsbare iPhone is voldoende om te worden besmet met malware, er is geen verdere interactie van gebruikers nodig.
Het gaat in totaal om vier kwetsbaarheden, aangeduid als CVE-2023-41974, CVE-2024-23222, CVE-2023-43000 en CVE-2023-43010. Drie van de problemen bevinden zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Het verwerken van malafide webcontent zorgt ervoor dat een aanvaller via deze lekken willekeurige code op de iPhone of iPad kan uitvoeren.
De vierde kwetsbaarheid bevindt zich in de kernel van iOS en iPadOS en zorgt ervoor dat een app willekeurige code met kernelrechten kan uitvoeren. Apple verhielp de vier beveiligingslekken verdeeld over vier releases, namelijk iOS 16.6, 17, 17.2 en 17.3 die eind 2023 en begin 2024 verschenen. In elke release werd één van de kwetsbaarheden gepatcht. Oudere iPhones en iPads kunnen niet naar deze versies updaten. Onlangs waarschuwde Google dat een exploitkit van een spywareleverancier in handen van een spionagegroep en een groep financieel gemotiveerde criminelen was gekomen. Spywareleveranciers leveren voornamelijk aan overheidsinstanties en het is onbekend hoe de exploitkit gelekt is.
De groep criminelen maakt volgens Google op grote schaal misbruik van de kwetsbaarheden om iPhones met malware te infecteren en zo crypto-gerelateerde data en andere financiële informatie te stelen. Om oudere iPhones en iPads te beschermen heeft Apple iOS en iPadOS 15.8.7 voor iPhone 6s, iPhone 7, iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie) uitgebracht. Eigenaren van een iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e generatie, iPad Pro 9.7-inch en iPad Pro 12.9-inch 1e generatie kunnen updaten naar iOS en iPadOS 16.7.15.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Product Owner / Senior Security Officer
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
