Apple heeft meerdere kwetsbaarheden in iOS verholpen waardoor eigenaren van een iPhone of iPad op afstand via bluetooth kunnen worden aangevallen. De beveiligingslekken maken het voor een aanvaller mogelijk om willekeurige code op de apparaten uit te voeren.

Drie kwetsbaarheden, aangeduid als CVE-2021-1794, CVE-2021-1795 en CVE-2021-1796, laten een remote aanvaller willekeurige code via bluetooth uitvoeren, aldus de omschrijving van Apple. Verdere details worden niet gegeven, behalve dat de kwetsbaarheden zijn ontdekt door onderzoeker Jianjun Dai van 360 Alpha Lab. De onderzoeker vond ook een vierde bluetooth-kwetsbaarheid, CVE-2021-1780, die een denial of service-aanval mogelijk maakt.

De kwetsbaarheden zijn verholpen in iOS 14.4 en iPad 14.4. Apple bracht deze updates al op 26 januari uit, maar meldde toen alleen dat er drie actief aangevallen zerodaylekken waren verholpen in de iOS-kernel en de browser-engine WebKit. Nu meldt het techbedrijf dat met iOS 14.4 en iPad 14.4 in totaal 47 kwetsbaarheden zijn opgelost.

Het gaat om meerdere kritieke kwetsbaarheden in CoreAudio, CoreGraphics, CoreMedia, CoreText, FontParser, ImageIO en WebKit. Door het verwerken van een kwaadaardig fontbestand, tekstbestand, afbeelding of webcontent zorgen deze beveiligingslekken ervoor dat een aanvaller willekeurige code op het apparaat kan uitvoeren.

Tevens is ook een kwetsbaarheid in WebRTC gepatcht waardoor een kwaadaardige website toegang tot afgeschermde poorten op willekeurige servers kan krijgen. Een aanval die 'NAT slipstreaming 2.0' wordt genoemd. Updaten naar iOS 14.4 en iPadOS 14.4 kan via iTunes en de Software Update-functie van het besturingssysteem.