Apple dicht actief misbruikte zerodays in iOS
Apple heeft donderdag diverse iOS-, iPadOS- en macOS-updates uitgebracht voor de zerodaylekken. De genoemde bugs zijn steeds elk actief misbruikt, licht de technologiegigant toe. Frappant is dat Apple met de bugoplossingen in de herhaling valt. Weeral wordt een bug in WebKit opgelost die aanvallen mogelijk maakt via malafide browsercontent (CVE-2023-41993). Een iOS- en macOS-update in juni trachtte eenzelfde bug aan te pakken.
Gezien WebKit door zowel iOS, iPadOS als macOS ingezet wordt – en browsers op de OS’en verplicht WebKit moeten gebruiken – treft de bug beide besturingssystemen en élke browser. De tweede bug heeft te maken met het certificatensysteem. Door een bug in dat systeem kunnen apps de controle of ze een geldig certificaat hebben omzeilen. Die bug staat geregistreerd als CVE-2023-41991.
Ten slotte werd een bug in de kernel opgelost (CVE-2023-41992). Kwaadwillenden kunnen via die kwetsbaarheid hun rechten in iOS en macOS verhogen. Wat ten grondslag ligt aan deze bug, blijft onduidelijk. Apple biedt meestal geen uitleg bij (recent) ontdekte bugs; al is het maar om aanvallers niet wijzer te maken dan ze al zijn. Wel meldt het alvast de oplossing: er zijn ‘verbeterde controles’ toegevoegd om te voorkomen dat een aanvaller plots zijn rechten kan verhogen.
Update je iPhone, iPad of Mac
Apple heeft reeds beveiligingsupdates klaarstaan voor iPhones, iPads en Macs. Meer specifiek gaat het om de volgende updates:
- iPhone: iOS 16.7 of iOS 17.0.1
- iPad: iPadOS 16.7 of iPadOS 17.0.1
- Mac: macOS Monterey 12.7 of macOS Ventura 13.6
Op de redactie kwam de beveiligingsupdate reeds binnenrollen. We raden aan de update zo snel als mogelijk te installeren, daar de kwetsbaarheden actief worden misbruikt (zerodays).
