Apple heeft onlangs een tweetal zero-day kwetsbaarheden in iOS, iPadOS en macOS gepatcht die cybercriminelen in staat stellen vrijwel alle Apple-devices te hacken. Het gaat hierbij om door derden ontdekte WebKit- en kernel-kwetsbaarheden.
De ontdekte zero-day kwetsbaarheden worden mogelijk al actief misbruikt, zo geeft Apple aan in een security alert. De belangrijkste ontdekte zero-day kwetsbaarheid is CVE-2023-23529 in WebKit. Deze kwetsbaarheid kan door cybercriminelen worden gebruikt om het OS op een Apple-device te laten crashen en niet-geautoriseerde code op deze devices uit te voeren. Dit laatste na het openen van een kwaadaardige webpagina.
Niet alleen iOS en iPad OS worden door deze kwetsbaarheid getroffen, ook macOS. In het laatste geval wordt ook versie 16.3.1 van de webbrowser Safari voor macOS Big Sur en Monterey getroffen. Safari staat bij cybercriminelen bekend als een ideale toegangspoort naar andere data op Apple-devices.
De tweede aangetroffen zero-day kwetsbaarheid betreft een kwetsbaarheid in de kernel. Deze kwetsbaarheid, CVE-2023-23514, kan ook leiden tot het draaien van willekeurige code op Apple devices met kernel-privileges.
Patches
Voor beide kwetsbaarheden heeft Apple inmiddels patches uitgebracht en deze verpakt in een nieuwe update van de betreffende besturingssystemen. De range van getroffen Apple-devices is best groot: alle Apple iPhones vanaf de iPhone 8, alle iPad Pro-modellen, de iPad Air 3de generatie en hoger, alle iPads van de 5de generatie en hoger, de iPad mini van de 5de generatie en hoger en Mac-computers en MacBooks die op macOS Ventura draaien.
Kwetsbaarheden ontdekt door derden
De kwetsbaarheden werden ontdekt door securityonderzoekers buiten Apple. De dank van Apple gaat voor de ontdekking van de Webkit-kwetsbaarheid naar een anonieme onderzoeker en voor de kernel de onderzoekers Xinru Chi van Pangu Lab en Ned Williamson van Google Project Zero. Ook wordt de digitale burgerrechtenorganisatie Citizen Lab van de Munk School van de Universiteit van Toronto in Canada bedankt voor hun hulp.
Apple adviseert de gebruikers van de genoemde devices zo snel mogelijk de update (iOS/iPadOS) 16.3.1 door te voeren.
Lees ook: Apple iOS 16.3 introduceert hardware security keys
1 uur geleden
