Apple heeft vanavond beveiligingsupdates uitgebracht voor een actief aangevallen zerodaylek in iOS, iPadOS en watchOS. Het is al de vierde zeroday dit jaar waar Apple-gebruikers mee te maken krijgen. De kwetsbaarheid, aangeduid als CVE-2021-1879, bevindt zich in WebKit, de door Apple ontwikkelde browser-engine waar Safari en alle andere browsers op iOS gebruik van maken.
Het verwerken van malafide webcontent kan leiden tot universal cross site scripting, waardoor een aanvaller JavaScript kan uitvoeren om zo bijvoorbeeld toegang tot webmail of socialmedia-accounts te krijgen en acties in naam van het slachtoffer uit te voeren. Alleen het bezoeken van een malafide of gecompromitteerde website zou hiervoor genoeg zijn.
Het beveiligingslek werd gevonden door Clement Lecigne en Billy Leonard of Google Threat Analysis Group. Dit onderdeel van het techbedrijf houdt zich bezig met onderzoek naar door staten uitgevoerde of gesponsorde aanvallen op gebruikers en Google zelf. Apple heeft het zerodaylek verholpen in iOS 14.4.2, iPadOS 14.4.2, iOS 12.5.2 en watchOS 7.3.3. Gebruikers wordt aangeraden de update zo snel mogelijk te installeren, wat kan via iTunes en de Software Update-functie.
In januari kwam Apple nog met updates voor drie actief aangevallen zerodays, waarvan twee in WebKit (CVE-2021-1870 en CVE-2021-1871) en één in de kernel (CVE-2021-1782). Afgelopen november verschenen er patches voor drie andere zerodaylekken die voor het uitkomen van de updates al werden aangevallen (CVE-2020-27950, CVE-2020-27932 en CVE-2020-27930). Deze kwetsbaarheden waren ook gevonden en gerapporteerd door Google.
Deze posting is gelocked. Reageren is niet meer mogelijk.