Apple heeft belangrijke beveiligingsupdates voor macOS, iOS, Safari, iTunes en iCloud uitgebracht die een groot aantal kwetsbaarheden verhelpen, waaronder ernstige beveiligingslekken in FaceTime. IOS 12.1 verhelpt minimaal 32 kwetsbaarheden waardoor een aanvaller in het ergste geval willekeurige code op iPhones, iPads en iPods had kunnen uitvoeren.

Verschillende van de kwetsbaarheden bevonden zich in FaceTime of waren via de populaire communicatie-app te misbruiken. Het verwerken van een kwaadaardige video via FaceTime maakte het mogelijk om kwaadaardige code op het systeem uit te voeren. Een andere kwetsbaarheid in FaceTime zelf zorgde ervoor dat een aanvaller op afstand op het toestel van een slachtoffer een FaceTime-gesprek had kunnen starten. Verder kon het verbinden met een vpn-server ervoor zorgen dat er dns-verzoeken naar een dns-proxy lekten en had een aanvaller met fysieke toegang tot een vergrendeld scherm bepaalde zaken kunnen delen of video's kunnen bekijken.

Met de lancering van macOS Mojave 10.14.1, Security Update 2018-001 High Sierra en Security Update 2018-005 Sierra heeft Apple minstens 71 beveiligingslekken opgelost waardoor een aanvaller in het ergste geval willekeurige code met systeem- of kernelrechten had kunnen uitvoeren. Dit was bijvoorbeeld mogelijk door het installeren van een kwaadaardige app of het mounten van een speciaal geprepareerde NFS-netwerkshare.

In Safari 12.0.1 zijn toepasselijk een dozijn beveiligingslekken gepatcht. In het ergste geval had een aanvaller willekeurige code op het systeem kunnen uitvoeren. Alleen het bezoeken van bijvoorbeeld een gehackte website was hierbij voldoende geweest.

Windows

Voor Windows-gebruikers heeft Apple ook beveiligingsupdates beschikbaar gesteld. Met iTunes 12.9.1 voor Windows 7 en nieuwer behoren minstens 14 kwetsbaarheden tot het verleden en in iCloud voor Windows 7.8 zijn 13 beveiligingslekken gepatcht. In beide programma's gaat het om lekken waardoor een aanvaller in het ergste geval het onderliggende systeem had kunnen overnemen.

Aantal kwetsbaarheden

Het werkelijke aantal kwetsbaarheden dat Apple tijdens deze patchronde heeft gepatcht is onbekend. Het bedrijf maakt sommige gepatchte lekken namelijk pas op een later moment bekend. Iets dat het gisterenavond heeft gedaan met eerder verschenen updates voor macOS, iTunes, iCloud voor Windows, tvOS, watchOS en iOS. Daar zijn allerlei verholpen kwetsbaarheden aan toegevoegd die in het initiële beveiligingsbulletin niet stonden vermeld. Een werkwijze waar Google-onderzoekers onlangs flinke kritiek op hebben geuit.

De nu verschenen updates zijn verkrijgbaar via de website van Apple, iTunes, de automatische updatefunctie of de stores van Apple. Het volledige overzicht van alle beveiligingsbulletins is op deze pagina te vinden.