Apple heeft twee ernstige beveiligingslekken gepatcht waardoor een aanvaller via bluetooth of FaceTime willekeurige code op iPhones, iPads en macOS-systemen had kunnen uitvoeren. Naast iOS en macOS verschenen er ook beveiligingsupdates voor Safari, iCloud voor Windows, watchOS en tvOS.
Via de kwetsbaarheden had een aanvaller in het ergste geval het onderliggende systeem kunnen overnemen. IOS 12.1.3 verhelpt in totaal 31 beveiligingslekken. Het bluetooth-onderdeel van iOS bevatte een kwetsbaarheid waardoor een aanvaller in een "geprivilegieerde netwerkpositie" willekeurige code kon uitvoeren, maar verdere details worden niet door Apple gegeven.
In het geval van het FaceTime-lek, dat door een onderzoeker van Google werd gevonden, was het ook mogelijk geweest om willekeurige code op het systeem van het slachtoffer uit te voeren. Hiervoor had een aanvaller het slachtoffer alleen via FaceTime hoeven te bellen. Verder zijn verschillende beveiligingslekken verholpen waardoor een kwaadaardige app willekeurige code met kernelrechten had kunnen uitvoeren. Het uitvoeren van code was ook mogelijk als er via Safari kwaadaardige webcontent werd verwerkt. Een kwetsbaarheid in de autofill-functie zorgde ervoor dat wachtwoorden automatisch werden ingevoerd, ook al waren die handmatig verwijderd.
Met de lancering van macOS Mojave 10.14.3, Security Update 2019-001 High Sierra en Security Update 2019-001 Sierra heeft Apple 23 kwetsbaarheden in het Mac-besturingssysteem verholpen. Het gaat onder andere om de bluetooth- en FaceTime-lekken die ook in iOS aanwezig waren, alsmede de kwetsbaarheden in de kernel waar kwaadaardige apps misbruik van hadden kunnen maken. Ook het verwerken van kwaadaardige webcontent op macOS, bijvoorbeeld bij het bezoeken van een gehackte of kwaadaardige website, maakte het mogelijk voor een aanvaller om willekeurige code op het systeem uit te voeren.
Voor Windows-gebruikers is iCloud for Windows 7.10 verschenen. Deze update verhelpt een dozijn kwetsbaarheden. Via elf van de beveiligingslekken had een aanvaller het systeem kunnen overnemen. Verder zijn er updates voor watchOS, tvOS en Safari uitgekomen.
De nu verschenen updates zijn verkrijgbaar via de website van Apple, iTunes, de automatische updatefunctie of de stores van Apple. Het volledige overzicht van alle beveiligingsbulletins is op deze pagina te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.