Apple heeft beveiligingsupdates uitgebracht om de exploitatie van verschillende WebKit-kwetsbaarheden tegen te gaan. Deze verraderlijke kwetsbaarheden met de namen CVE-2023-32409, CVE-2023-28204 en CVE-2023-32373, hebben hun pijlen gericht op WebKit, de browser-engine die Apple voorstaat in zijn Safari-browser.
Apple vereist dat andere browsers die zich binnen het iOS-ecosysteem begeven, zich houden aan de regels van WebKit.
CVE-2023-32409 maakt het mogelijk voor een aanvaller op afstand om te ontsnappen aan de Web Content-sandbox, waarbij de ontdekking wordt toegeschreven aan de ijverige inspanningen van Clément Lecigne van Google’s Threat Analysis Group en Donncha Ó Cearbhaill van Amnesty International’s Security Lab.
Wat de andere fouten doen
CVE-2023-28204 betreft de openbaarmaking van gevoelige informatie tijdens de verwerking van webcontent, terwijl CVE-2023-32373 remote code execution mogelijk maakt via kwaadwillig gemaakte webpagina’s.
iPhones vanaf de achtste generatie, alle iPad Pro’s, de iPad Airs vanaf de derde generatie, de iPads vanaf de vijfde generatie en zelfs de kleine iPad mini’s vanaf de vijfde generatie zijn allemaal getroffen door deze groep kwetsbaarheden.
Op het moment van schrijven blijven gedetailleerde informatie en severity scores over deze onlangs onthulde CVE’s uit. Niettemin blijft de realiteit grimmig en verontrustend: meer dan een miljard iPhones en iPads zijn blootgesteld en kwetsbaar, wat een schaduw van twijfel werpt over Apple’s ooit geprezen beweringen van onoverwinnelijkheid op het gebied van security.
Het argument voor meer concurrentie
Hoewel Apple vasthoudt aan zijn beleid om beveiligingsproblemen niet bekend te maken, te bespreken of te bevestigen totdat er een gedegen onderzoek heeft plaatsgevonden en patches of releases beschikbaar zijn, maakt de urgentie van de situatie snelle actie noodzakelijk.
De onthulling van deze WebKit-kwetsbaarheden kan de ontevredenheid bij developers aanwakkeren en de roep om openstelling van de poorten van Apple voor concurrerende browser-engines versterken. Een dergelijke stap zou meer ontwikkelaars uitnodigen om deze projecten te verrijken en hun beveiligingsmaatregelen te versterken.
Naar verluidt komt Apple dichterbij het toestaan van meerdere engines, al was het maar om toezichthouders te sussen. Veel critici pleiten voor meer concurrentie binnen het domein van Apple.