Actief misbruikte kwetsbaarheden in iOS en macOS gepatcht
Gedetailleerde informatie over de kwetsbaarheden wordt niet gegeven. Hoewel beide bugs in het CVE-systeem staan geregistreerd (CVE-2023-32434 en CVE-2023-32439), schermde de organisatie informatie van deze kwetsbaarheden af. Gekend dat beide kwetsbaarheden in iOS, iPadOS en macOS actief worden uitgebuit.
Bij de eerstgenoemde bug legt Apple uit dat die een kernelkwetsbaarheid betreft. Door die bug kan een zogenaamde integer overflow ontstaan. Concreet leidt dit ertoe dat kwaadwillenden gevaarlijke code kunnen draaien met kernelprivileges, ofwel de hoogste rechten binnen het besturingssysteem. Hierdoor krijgen hackers toegang tot alle bestanden op je smartphone en kunnen ze op de software draaien op de achtergrond. Volgens Apple wordt de kwetsbaarheid in elk geval misbruikt op iOS-versies ouder dan iOS 15.7.
De tweede bug bevindt zich in WebKit. Met dit lek kunnen kwaadwillenden eveneens software op je smartphone draaien, zonder dat je dit door hoeft te hebben. Dit lek kan worden aangesproken door specifieke webcontent. Apple zegt dat dit lek actief wordt misbruikt, maar meldt niet of dit enkel op iOS en iPadOS of alle besturingssystemen is gemeld. WebKit wordt alvast op alle drie gebruikt – het lek was ook daardoor ook op elk besturingssysteem aanwezig.
Update je Apple-apparaat
Apple heeft intussen updates uitgebracht om de kwetsbaarheden te patchen. Deze zijn beschikbaar voor zowel iOS, iPadOS, macOS en watchOS. Hieronder hebben we alle updates op een rijtje gezet.
- iOS: 15.7.7 en 16.5.1
- iPadOS: 15.7.7 en 16.5.1
- macOS: 11.7.8, 12.6.7 en 13.4.1
- watchOS: 8.8.1 en 9.5.2
