Apple dicht twee actief misbruikte bugs in macOS en iOS
In beide gevallen gaat het om zerodaylekken die kunnen worden misbruikt zonder tussenkomst van de gebruiker. De eerste kwetsbaarheid (CVE-2024-44308) bevindt zich in de JavaScriptCore-engine van Apples besturingssystemen, die wordt gebruikt door apps zoals Safari en Apple Mail. Het weergeven van ‘kwaadwillig vervaardigde webinhoud’ is voldoende om het zerodaylek te misbruiken. Via het lek kunnen aanvallers volgens Apple willekeurige code uitvoeren op het getroffen apparaat.
Actief misbruikt op Intel-Macs
Zoals vermeld, betreft het een zerodaylek: Apple heeft bevestigd dat dit lek actief wordt misbruikt op Intel-gebaseerde Macs. Andere apparaten, zoals ARM-gebaseerde Macs en iPhones, vallen hier niet onder, maar zijn wel degelijk kwetsbaar. Dit geldt ook voor de tweede kwetsbaarheid die in de recent uitgebrachte updates wordt gepatcht: CVE-2024-44309. Dit lek bevindt zich specifiek in de WebKit-engine van Apple, die door alle webbrowsers op Apple-apparaten wordt gebruikt.
CVE-2024-44309 betreft een cross-site scripting-aanval, waarmee aanvallers bijvoorbeeld code kunnen injecteren in invoervelden of accountcookies kunnen stelen. Hiermee kunnen zij toegang krijgen tot gevoelige gegevens of zelfs betalingen uitvoeren. Voor beide lekken geldt dat Apple beperkte details verstrekt; dit heeft te maken met de ernst en het zerodaykarakter ervan. Beide kwetsbaarheden worden al actief misbruikt, en Apple wil hackers niet wijzer maken dan strikt noodzakelijk.
Installeer de beveiligingsupdate
Apple heeft beide lekken inmiddels gedicht met “aanvullende controles”. Om de bugfixes op je iPad, iPhone, Mac of Vision-headset te installeren, kan je terecht in het instellingenmenu. Daar zijn de volgende updates beschikbaar:
