Apple lanceert iOS en iPadOS 15.3.1 om een ernstige ACE-kwetsbaarheid (arbitrary code execution) te patchen. De bug stelt hackers in staat om code via Chrome, Firefox en Safari op devices uit te voeren.

Apple deelt geen details over kwetsbaarheden die momenteel worden onderzocht. Vandaar is de informatie beperkt. We weten dat iOS 15.3.1 een patch bevat voor een ACE-kwetsbaarheid in WebKit, de iOS engine voor Safari, Chrome, Firefox en de meeste grote browsers. Het aanvalsoppervlakte is gigantisch, want WebKit wordt in bijna alle iPhones, iPads, Macbooks en iMacs verwerkt.

iOS 15.3.1 patch

Apple adviseert om de update zo snel mogelijk uit te voeren op alle modellen sinds de iPhone 6s, iPad Pro, iPad Air 2, iPad 5th gen en iPad mini 4. De meeste modellen ontvangen een automatische update. Ontvang je de update niet, dan navigeer je via ‘Settings’ (Instellingen) naar ‘General’ (Algemeen) en ‘Software update’, waarna het besturingssysteem de update ontvangt.

Zoals eerdergenoemd weten we op dit moment niet hoe de kwetsbaarheid misbruikt kan worden. De impact is daarentegen duidelijk. “Kwaadaardige webcontent kan tot arbitrary code execution leiden”, verklaart Apple. “We zijn op de hoogte van een melding waaruit blijkt dat de kwetsbaarheid mogelijk actief is misbruikt.”

Nieuw jaar, zelfde probleem?

Dit is niet de eerste keer dat WebKit een dreiging in iOS veroorzaakt. Het verleden van de engine staat bol van de bugs. Een van de eerdere incidenten lijkt opvallend veel op het huidige probleem. In maart 2021 publiceerde Apple een patch voor een dreiging met precies dezelfde beschrijving als de kwetsbaarheid van vandaag. Toen creëerde de bug het risico op memory corruption. CVSS gaf de kwetsbaarheid een score van 8.8.