Update voor iOS dicht actief geëxploiteerde beveiligingslekken

Abonneer je gratis op Techzine!

Apple heeft in een update voor iOS drie zero day-lekken gedicht die actief werden uitgebuit. De lekken waren gevonden door de Project Zero-onderzoeksgroep van Google.

Naast iOS komen de lekken ook voor in iPadOS, dat grotendeels hetzelfde besturingssystemen is. In de update is een groot aantal mogelijke beveiligingslekken geplet, maar van die lekken waren er volgens ArsTechnica drie door Project Zero waren gevonden en al uitgebuit zouden worden.

  • CVE-2020-27930 liet aanvallers met een combinatie van tekens en lettertypen eigen code uitvoeren op het apparaat;
  • CVE-2020-27950 gaf kwaadwillende apps de mogelijkheid om delen van het kernelgeheugen uit te lezen;
  • CVE-2020-27932 maakte het mogelijk om code te draaien met extra rechten.

iOS 14.2

Deze lekken, samen met enkele andere kwetsbaarheden, zijn gedicht in iOS 14.2 en iPadOS 14.2. De update is beschikbaar voor de iPhone 6s en nieuwer, de iPod Touch van de 7e generatie, de iPad Air 2 en nieuwer en de iPad Mini 4 en nieuwer.

Naast het dichten van beveiligingslekken heeft Apple ook enkele andere nieuwe functies toegevoegd aan iOS 14.2. Deze bestaan uit een functie om met behulp van de lidarsensor in de iPhone 12 een signaal te geven wanneer je in de buurt van een andere persoon komt. Blinde mensen kunnen dit gebruiken om afstand te houden tijdens de coronacrisis. Verder voegt de update enkele nieuwe emoji en achtergronden toe, naast een melding voor een te hoog hoofdtelefoonvolume.

Project Zero

Sinds 20 oktober heeft Project Zero, naast deze drie kwetsbaarheden, nog vier andere lekken gevonden. Drie daarvan zaten in de Chrome-browsers voor computers of Android-telefoons en één zat in Windows 7 en Windows 10. Meer over die laatste kwetsbaarheid is te lezen in het Techzine-nieuwsbericht erover.