image

Apple verhelpt kritieke lekken in MacOS, iOS, iTunes en Safari

woensdag 25 maart 2020, 10:17 door Redactie, 3 reacties

Apple heeft beveiligingsupdates uitgebracht die kritieke kwetsbaarheden in onder andere MacOS, iOS, iTunes en Safari verhelpen. Via de beveiligingslekken had een aanvaller in het ergste geval volledige controle over het systeem kunnen krijgen, waarbij alleen het bezoeken van een website voldoende was.

Met iOS 13.4 en iPadOS 13.4 zijn in totaal dertig kwetsbaarheden in de besturingssystemen verholpen. Via de lekken had een aanvaller bluetooth-verkeer kunnen onderscheppen, was het mogelijk voor een aanvaller met toegang tot een vergrendelde iPhone om op berichten te reageren, zelfs wanneer het beantwoorden stond uitgeschakeld. Verder bleek dat de activiteiten tijdens private browsing onbedoeld door Screen Time konden worden opgeslagen.

De gevaarlijkste kwetsbaarheden zijn in WebKit opgelost, waar Safari gebruik van maakt. Alleen het bezoeken van een malafide of gecompromitteerde website zou voldoende zijn geweest om een aanvaller willekeurige code uit te laten voeren. Updaten naar de nieuwste versie kan via iTunes en de Software Update-functie.

MacOS

Voor Mac-gebruikers zijn macOS Catalina 10.15.4, Security Update 2020-002 Mojave en Security Update 2020-002 High Sierra verschenen. De updates verhelpen in totaal 27 kwetsbaarheden. Een van de beveiligingslekken bevond zich in Apple Mail en maakte het mogelijk voor een remote aanvaller om willekeurige JavaScript-code uit te laten voeren. Tevens bleek het mogelijk voor malafide apps om de controle op een digitale handtekening te omzeilen. Updaten kan via de updatefunctie van het besturingssysteem.

Voor macOS Mojave en macOS High Sierra is Safari 13.1 uitgekomen. De browserupdate, die standaard onderdeel van de Catalina-update is, lost elf kwetsbaarheden op. Tien daarvan bevonden zich in WebKit, dat Safari als browserengine gebruikt, en maakten het uitvoeren van willekeurige code mogelijk. Daarnaast is er een lek in Safari Downloads verholpen. Een kwaadaardig iframe had hierdoor de downloadinstellingen van een andere website kunnen gebruiken. Safari 13.1 is voor Mojave- en High Sierra-gebruikers te downloaden via de Mac App Store.

Voor Windowsgebruikers heeft Apple iTunes 12.10.5 uitgebracht, waarmee dertien kwetsbaarheden tot het verleden behoren. Via de beveiligingslekken zou een aanvaller op afstand willekeurige code kunnen uitvoeren als iTunes kwaadaardige webcontent zou verwerken. De update is te downloaden via Apple.com.

Reacties (3)
25-03-2020, 15:27 door Anoniem
Dit was vandaag een behoorlijke patch-dag moet ik zeggen. Naast iMacs en Macbooks waren er ook weer updates voor Android en Linux (Ubuntu). Alles bij elkaar toch 3 uur met patchen bezig geweest. Nog bedankt redactie voor het waarschuwen!
25-03-2020, 16:53 door Anoniem
Sinds welke release zat elke zwakheid al in de systemen?
Lees ik niets over bij Apple zelf maar is toch vrij essentieel om te weten sinds welke software / plug-in cycli de kwetsbaarheden ook bij niet door Apple zelf ontwikkelde software tot kwetsbaarheden konden leiden en wat bijkomend de omvang is van rechtstreeks potentieel kwetsbare geraakte gegevens op gegevens-dragers mogelijk zijn beïnvloed (oneigenlijk gelezen, aangepast, beschadigd, gelezen etc).
Dan kunnen Super-users en applicatie-beheerders ook beter beheersmatig nadenken over de decentraal ondersteunde applicaties en centraal en decentraal bewaarde gegevens (logs, config bestanden, voorkeur instellingen, sleutels, id's, etc)
25-03-2020, 17:18 door Anoniem
Ik ben wel eens benieuwd wanneer zij DoH standaard gaan inschakelen in safari wat mozilla bij firefox heeft gedaan. (Hopelijk nooit.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.