Deze beveiligingsproblemen zijn opgelost in iOS 17.1.2
Als Apple een tussentijdse beveiligingsupdate zoals iOS 17.1.2 uitbrengt, is niet altijd duidelijk wat erin zit. De lijst met opgeloste beveiligingsproblemen verschijnt vaak een paar uur later. In het geval van iOS 17.1.2 was er een dringende reden om een update uit te brengen, omdat er twee zero-day kwetsbaarheden waren ontdekt in de WebKit browser-engine. Het gaat om CVE-2023-42916 en CVE-2023-42917, waarmee aanvallers toegang konden krijgen tot gevoelige informatie via een zogenaamde out-of-bounds read kwetsbaarheid. Ook kon willekeurige code worden uitgevoerd door het geheugen corrupt te maken. Hierbij werd gebruik gemaakt van webpagina’s met kwaadaardige inhoud.
In totaal heeft Apple nu twintig zero-day kwetsbaarheden opgelost sinds begin van dit jaar. Een zero-day exploit, is een aanval waarbij misbruik wordt gemaakt van een zwakke plek in de software, die nog onbekend is bij de ontwikkelaar. Inmiddels is Apple wel op de hoogte en heeft maatregelen genomen. De updates iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 en Safari 17.1.2 zorgen voor extra validaties zodat dat de genoemde exploits niet meer mogelijk zijn. Beide zero-days werden ontdekt door beveiligingsonderzoeker Clément Lecigne van Google’s Threat Analysis Group (TAG) en werden door hem gerapporteerd. Hij krijgt dan ook de credits in het supportartikel dat Apple nu heeft uitgebracht.
Fix voor alle devices met iOS 17
De lijst met getroffen Apple-devices is vrij breed en omvat simpelweg alle toestellen die de update naar iOS 17 hebben gekregen, vanaf de iPhone XS en nieuwer. Bij de iPads gaat het om de iPad mini 5, iPad 2018, iPad Air 3, iPad Pro 2017 en opvolgers van al deze tablets. Mogelijk brengt Apple ook nog aparte beveiligingsupdates uit voor eerdere toestellen zoals de iPhone 8 en iPhone X. Die zijn op iOS 16 blijven hangen en zijn mogelijk ook kwetsbaar voor de genoemde exploits.
Apple geeft geen informatie over nog niet opgeloste zero-days. Wel weten we dat CVE-2023-42916 en CVE-2023-42917 respectievelijk de 19e en 20e zero-day kwetsbaarheden zijn, die Apple dit jaar heeft verholpen. Onlangs werden de zero-day bugs CVE-2023-41991, CVE-2023-41992 en CVE-2023-41993 opgelost, die respectievelijk waren ontdekt door het Citizen Lab en Google TAG. Google’s eigen onderzoekslab ontdekt vaak zero-days en helpt Apple om iOS veilig te houden door ze te rapporteren. Dergelijke zero-days kunnen worden gebruikt om data van gebruikers te achterhalen en worden soms ook ingezet om spyware-aanvallen uit te voeren op prominente personen zoals politici. Zo werden in september CVE-2023-41061 en CVE-2023-41064 opgelost (codenaam BLASTPASS), die werden gebruikt in de Pegasys-spyware van NSO Group.
Meer info over de beveiligingsupdates die Apple de afgelopen tijd heeft uitgebracht vind je op deze pagina. Die is op het moment van schrijven nog niet bijgewerkt voor iOS 17.1.2.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Reacties: 0 reacties