image

Apple verhelpt actief aangevallen zerodaylek in iOS en iPadOS

vrijdag 26 maart 2021, 21:25 door Redactie, 17 reacties

Apple heeft vanavond beveiligingsupdates uitgebracht voor een actief aangevallen zerodaylek in iOS, iPadOS en watchOS. Het is al de vierde zeroday dit jaar waar Apple-gebruikers mee te maken krijgen. De kwetsbaarheid, aangeduid als CVE-2021-1879, bevindt zich in WebKit, de door Apple ontwikkelde browser-engine waar Safari en alle andere browsers op iOS gebruik van maken.

Het verwerken van malafide webcontent kan leiden tot universal cross site scripting, waardoor een aanvaller JavaScript kan uitvoeren om zo bijvoorbeeld toegang tot webmail of socialmedia-accounts te krijgen en acties in naam van het slachtoffer uit te voeren. Alleen het bezoeken van een malafide of gecompromitteerde website zou hiervoor genoeg zijn.

Het beveiligingslek werd gevonden door Clement Lecigne en Billy Leonard of Google Threat Analysis Group. Dit onderdeel van het techbedrijf houdt zich bezig met onderzoek naar door staten uitgevoerde of gesponsorde aanvallen op gebruikers en Google zelf. Apple heeft het zerodaylek verholpen in iOS 14.4.2, iPadOS 14.4.2, iOS 12.5.2 en watchOS 7.3.3. Gebruikers wordt aangeraden de update zo snel mogelijk te installeren, wat kan via iTunes en de Software Update-functie.

In januari kwam Apple nog met updates voor drie actief aangevallen zerodays, waarvan twee in WebKit (CVE-2021-1870 en CVE-2021-1871) en één in de kernel (CVE-2021-1782). Afgelopen november verschenen er patches voor drie andere zerodaylekken die voor het uitkomen van de updates al werden aangevallen (CVE-2020-27950, CVE-2020-27932 en CVE-2020-27930). Deze kwetsbaarheden waren ook gevonden en gerapporteerd door Google.

Reacties (17)
26-03-2021, 21:27 door Anoniem
Keurig, ook de 5s krijgt nog een patch op iOS12.
26-03-2021, 21:39 door Anoniem
Welke staat heeft deze aanval actief misbruikt en hoe weet google dit?
26-03-2021, 21:46 door Anoniem
Door Anoniem: Keurig, ook de 5s krijgt nog een patch op iOS12.
ze moeten technisch gezien wel vanuit risicomanagement van hun eco systeem en de pittige hoeveelheid toestellen die nog altijd in gebruik zijn en in de refurbished partnerschap sales hun waarde opbrengen.
Zouden ze prijstechnisch daarmee ver zakken onder de prijs waartegen de 5s voor het laatst in de winkel lag dan kalven ze prijs-marketing technisch ook hun winstmarge van de nieuwere versies toestellen af.

Deze update slag is tegelijk ook wel enige hedging voor hun machtspositie in de telefoon markt ten opzichte van bepaalde fabrikanten met Android toestellen die een veelvoud minder kosten. Zou dom zijn als Apple wel x maal meer voor haar toestellen verlangt maar qua software updates teveel tegen de andere fabrikanten aan gaat schurken en er eerder de brui aan geeft.

En primair zijn zero-days natuurlijk een teken dat ze hun huiswerk in beginsel niet op orde hadden.
Apple heeft dus nog een lange weg te gaan met iOS 12 en de nieuwere systeemversies eer ze haar zelf gemaakte kan gaan goedpraten....
27-03-2021, 08:01 door Anoniem
Door Anoniem:
Door Anoniem: Keurig, ook de 5s krijgt nog een patch op iOS12.
ze moeten technisch gezien wel vanuit risicomanagement van hun eco systeem en de pittige hoeveelheid toestellen die nog altijd in gebruik zijn en in de refurbished partnerschap sales hun waarde opbrengen.
Zouden ze prijstechnisch daarmee ver zakken onder de prijs waartegen de 5s voor het laatst in de winkel lag dan kalven ze prijs-marketing technisch ook hun winstmarge van de nieuwere versies toestellen af.

Deze update slag is tegelijk ook wel enige hedging voor hun machtspositie in de telefoon markt ten opzichte van bepaalde fabrikanten met Android toestellen die een veelvoud minder kosten. Zou dom zijn als Apple wel x maal meer voor haar toestellen verlangt maar qua software updates teveel tegen de andere fabrikanten aan gaat schurken en er eerder de brui aan geeft.

En primair zijn zero-days natuurlijk een teken dat ze hun huiswerk in beginsel niet op orde hadden.
Apple heeft dus nog een lange weg te gaan met iOS 12 en de nieuwere systeemversies eer ze haar zelf gemaakte kan gaan goedpraten....


Zou U dit nog eens in gewoon Nederlands kunnen uitleggen?
Ik snap hier niets van.
27-03-2021, 08:37 door Anoniem
Door Anoniem:
Door Anoniem: Keurig, ook de 5s krijgt nog een patch op iOS12.
ze moeten technisch gezien wel vanuit risicomanagement van hun eco systeem en de pittige hoeveelheid toestellen die nog altijd in gebruik zijn en in de refurbished partnerschap sales hun waarde opbrengen.
Zouden ze prijstechnisch daarmee ver zakken onder de prijs waartegen de 5s voor het laatst in de winkel lag dan kalven ze prijs-marketing technisch ook hun winstmarge van de nieuwere versies toestellen af.

Deze update slag is tegelijk ook wel enige hedging voor hun machtspositie in de telefoon markt ten opzichte van bepaalde fabrikanten met Android toestellen die een veelvoud minder kosten. Zou dom zijn als Apple wel x maal meer voor haar toestellen verlangt maar qua software updates teveel tegen de andere fabrikanten aan gaat schurken en er eerder de brui aan geeft.

En primair zijn zero-days natuurlijk een teken dat ze hun huiswerk in beginsel niet op orde hadden.
Apple heeft dus nog een lange weg te gaan met iOS 12 en de nieuwere systeemversies eer ze haar zelf gemaakte kan gaan goedpraten....

Apple verlangt niet x maal meer dan een high end Samsung toestel wat slechts 2 jaar updates krijgt.

En wat een verschrikkelijke onzin opmerking over het niet op orde hebben van hun huiswerk. Je hebt ALTIJD bugs in complexe software, als je geen bugs hebt maak je geen software.
27-03-2021, 08:46 door Anoniem
Door Anoniem:

En primair zijn zero-days natuurlijk een teken dat ze hun huiswerk in beginsel niet op orde hadden.

Ach gut, mijnheer heeft nog nooit zelf een stuk software aangeraakt.
27-03-2021, 09:50 door Anoniem
Door Anoniem:
Door Anoniem: Keurig, ook de 5s krijgt nog een patch op iOS12.
ze moeten technisch gezien wel vanuit risicomanagement van hun eco systeem en de pittige hoeveelheid toestellen die nog altijd in gebruik zijn en in de refurbished partnerschap sales hun waarde opbrengen.

Ik ben blij dat ze aan risicomanagement doen, dat kan je over 3 miljard lekke Android toestellen niet zeggen.
27-03-2021, 09:53 door [Account Verwijderd]
Algemeen:

Zo'n beetje elke dag is het raak: We lezen hier nieuws over aanvallen of geconstateerde zeroday's op besturingssystemen en/of apps voor de door de overheid tot heilig verklaarde smartphone.
En toch gaat de overheid maar door met het promoten van smartphonegebruik, waarbij net geen dwingelandij om de hoek komt kijken: https://www.security.nl/posting/695698/Overheid+gaat+inloggen+via+DigiD+met+sms-controle+op+termijn+uitfaseren

Als ik om mij heen keek indertijd toen ik nog werkzaam was tijdens pauzes hoe nonchalant nogal wat smartphonegebruikers met het ding omgaan, zoals op tafel laten liggen en weglopen terwijl het ding aanstaat, hoorbaar aan 'bleeps' vanwege een bericht dat binnenkomt o.i.d. houd ik mijn hart vast over de gevolgen als het eens volledig uit de klauwen loopt met een zero-day.
27-03-2021, 10:16 door Anoniem
Door Staewoldt: Algemeen:

Zo'n beetje elke dag is het raak: We lezen hier nieuws over aanvallen of geconstateerde zeroday's op besturingssystemen en/of apps voor de door de overheid tot heilig verklaarde smartphone.
En toch gaat de overheid maar door met het promoten van smartphonegebruik, waarbij net geen dwingelandij om de hoek komt kijken: https://www.security.nl/posting/695698/Overheid+gaat+inloggen+via+DigiD+met+sms-controle+op+termijn+uitfaseren

Als ik om mij heen keek indertijd toen ik nog werkzaam was tijdens pauzes hoe nonchalant nogal wat smartphonegebruikers met het ding omgaan, zoals op tafel laten liggen en weglopen terwijl het ding aanstaat, hoorbaar aan 'bleeps' vanwege een bericht dat binnenkomt o.i.d. houd ik mijn hart vast over de gevolgen als het eens volledig uit de klauwen loopt met een zero-day.

Je weet dat je smartphones automatisch kunt vergrendelen en dat inkomende berichten niet leesbaar op het scherm hoeven te verschijnen? Wat is je probleem?
27-03-2021, 10:28 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Keurig, ook de 5s krijgt nog een patch op iOS12.
ze moeten technisch gezien wel vanuit risicomanagement van hun eco systeem en de pittige hoeveelheid toestellen die nog altijd in gebruik zijn en in de refurbished partnerschap sales hun waarde opbrengen.
Zouden ze prijstechnisch daarmee ver zakken onder de prijs waartegen de 5s voor het laatst in de winkel lag dan kalven ze prijs-marketing technisch ook hun winstmarge van de nieuwere versies toestellen af.

Deze update slag is tegelijk ook wel enige hedging voor hun machtspositie in de telefoon markt ten opzichte van bepaalde fabrikanten met Android toestellen die een veelvoud minder kosten. Zou dom zijn als Apple wel x maal meer voor haar toestellen verlangt maar qua software updates teveel tegen de andere fabrikanten aan gaat schurken en er eerder de brui aan geeft.

En primair zijn zero-days natuurlijk een teken dat ze hun huiswerk in beginsel niet op orde hadden.
Apple heeft dus nog een lange weg te gaan met iOS 12 en de nieuwere systeemversies eer ze haar zelf gemaakte kan gaan goedpraten....


Zou U dit nog eens in gewoon Nederlands kunnen uitleggen?
Ik snap hier niets van.

Een beetje Apple afzeiken omdat hij ze te duur vindt. Een Samsung is niks goedkoper en heb je korter veilig plezier van, maar een Enterprise toestel moet je niet vergelijken met een 49 euro kostende Lidl telefoon.
27-03-2021, 12:01 door Anoniem
Door Anoniem: Welke staat heeft deze aanval actief misbruikt en hoe weet google dit?
Staat inderdaad nergens.
27-03-2021, 12:01 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Keurig, ook de 5s krijgt nog een patch op iOS12.
ze moeten technisch gezien wel vanuit risicomanagement van hun eco systeem en de pittige hoeveelheid toestellen die nog altijd in gebruik zijn en in de refurbished partnerschap sales hun waarde opbrengen.
Zouden ze prijstechnisch daarmee ver zakken onder de prijs waartegen de 5s voor het laatst in de winkel lag dan kalven ze prijs-marketing technisch ook hun winstmarge van de nieuwere versies toestellen af.

Deze update slag is tegelijk ook wel enige hedging voor hun machtspositie in de telefoon markt ten opzichte van bepaalde fabrikanten met Android toestellen die een veelvoud minder kosten. Zou dom zijn als Apple wel x maal meer voor haar toestellen verlangt maar qua software updates teveel tegen de andere fabrikanten aan gaat schurken en er eerder de brui aan geeft.

En primair zijn zero-days natuurlijk een teken dat ze hun huiswerk in beginsel niet op orde hadden.
Apple heeft dus nog een lange weg te gaan met iOS 12 en de nieuwere systeemversies eer ze haar zelf gemaakte kan gaan goedpraten....


Zou U dit nog eens in gewoon Nederlands kunnen uitleggen?
Ik snap hier niets van.

Het is in elk geval geen Chinees wat hierboven staat.
Het kan zijn dat je er niets van snapt, de woorden gaan meer over de strategie van Apple's aanpak.

Maar het is kortgezegd gewoon de verantwoordelijkheid van de fabrikant Apple om ernstige gebreken die vanaf het begin er in kunnen zitten te voorkomen.
Daarnaast ze hebben zelf ook alle baat bij om zero-days gebreken voordat ze hun toestel c.q. software updates op de markt brengen te vermijden.
Deugdelijke werking heet dat, geldt onder andere bij het consumentenrecht.
Die zero-days gebreken vooraf vermijden scheelt klanten ook veel service tijdens gebruik en veel gehannes.
Apple wijkt daar deels van af.
Daarom ze moeten ze hun bewezen in gebreke blijven (zero days voorkomen) voortdurend wel blijven herstellen.
Je kan dat herstel dat Apple doet keurig noemen.
Je kan dat zien als gebreken herstellen omdat ze het juridisch moeten doen.
Ook al betreft het gebreken die in een wat ouder toestel zitten, ze moeten het wel herstellen omdat het voortvloeit uit wetgeving.
Dat komt Apple's eigen reputatie dat hun apparaten wel vaak duurder zijn dan vergelijkbare apparaten met Android maar ook langer meegaan tevens ten goede.
Zonder dat herstel van die gebreken die er af fabriek in zitten gaat die vlieger natuurlijk niet meer op.
Dan zouden ze ook de bijl zetten in hun eigen prijs-strategie.
27-03-2021, 12:10 door Power2All - Bijgewerkt: 27-03-2021, 12:11
Apple, sowieso brakke apparaten.
Gaan tig sneller stuk, puur vanwege fouten in hun productie van de hardware.
Het is toch apart, dat je niks bijna van de Apple apparaten kan vervangen, zonder dat je het hele toestel moet laten vervangen... ?
Die nieuwe M1 laptops, gesoldeerde SSD's, serieus.. ?
Wie koopt die troep...
Oh ik weet het wel, maar goed, dat zal een never-ending discussie worden, want Apple fans zitten nu eenmaal vast aan dat ecosysteem.
27-03-2021, 13:06 door [Account Verwijderd]
Door Anoniem:
Door Staewoldt: Algemeen:

Zo'n beetje elke dag is het raak: We lezen hier nieuws over aanvallen of geconstateerde zeroday's op besturingssystemen en/of apps voor de door de overheid tot heilig verklaarde smartphone.
En toch gaat de overheid maar door met het promoten van smartphonegebruik, waarbij net geen dwingelandij om de hoek komt kijken: https://www.security.nl/posting/695698/Overheid+gaat+inloggen+via+DigiD+met+sms-controle+op+termijn+uitfaseren

Als ik om mij heen keek indertijd toen ik nog werkzaam was tijdens pauzes hoe nonchalant nogal wat smartphonegebruikers met het ding omgaan, zoals op tafel laten liggen en weglopen terwijl het ding aanstaat, hoorbaar aan 'bleeps' vanwege een bericht dat binnenkomt o.i.d. houd ik mijn hart vast over de gevolgen als het eens volledig uit de klauwen loopt met een zero-day.

Je weet dat je smartphones automatisch kunt vergrendelen en dat inkomende berichten niet leesbaar op het scherm hoeven te verschijnen? Wat is je probleem?

'Wat is je probleem?', Altijd dat dommige 'wat is je probleem' indien een ander hier wel creatief nadenkt.

Ik heb geen probleem maar jij blijkbaar wel omdat je overduidelijk laat blijken niet creatief te kunnen denken over dingen die je om je heen ziet gebeuren. Dát is het probleem; Jouw probleem
Zucht....Het zit hem helemaal niet in zoiets basaal als vergrendelen van dat ding. Het zit hem in de door mij jaren aaneen geconstateerde nonchalance waarmee nagenoeg iedereen een smartphone gebruikt.
27-03-2021, 13:42 door Anoniem
Door Staewoldt:
Door Anoniem:
Door Staewoldt: Algemeen:

Zo'n beetje elke dag is het raak: We lezen hier nieuws over aanvallen of geconstateerde zeroday's op besturingssystemen en/of apps voor de door de overheid tot heilig verklaarde smartphone.
En toch gaat de overheid maar door met het promoten van smartphonegebruik, waarbij net geen dwingelandij om de hoek komt kijken: https://www.security.nl/posting/695698/Overheid+gaat+inloggen+via+DigiD+met+sms-controle+op+termijn+uitfaseren

Als ik om mij heen keek indertijd toen ik nog werkzaam was tijdens pauzes hoe nonchalant nogal wat smartphonegebruikers met het ding omgaan, zoals op tafel laten liggen en weglopen terwijl het ding aanstaat, hoorbaar aan 'bleeps' vanwege een bericht dat binnenkomt o.i.d. houd ik mijn hart vast over de gevolgen als het eens volledig uit de klauwen loopt met een zero-day.

Je weet dat je smartphones automatisch kunt vergrendelen en dat inkomende berichten niet leesbaar op het scherm hoeven te verschijnen? Wat is je probleem?

'Wat is je probleem?', Altijd dat dommige 'wat is je probleem' indien een ander hier wel creatief nadenkt.

Ik heb geen probleem maar jij blijkbaar wel omdat je overduidelijk laat blijken niet creatief te kunnen denken over dingen die je om je heen ziet gebeuren. Dát is het probleem; Jouw probleem
Zucht....Het zit hem helemaal niet in zoiets basaal als vergrendelen van dat ding. Het zit hem in de door mij jaren aaneen geconstateerde nonchalance waarmee nagenoeg iedereen een smartphone gebruikt.
Ga er maar vast aan wennen. Mensen worden steeds nonchalante en dommer. Alleen het collectief kan ons nog redden (het geheel is meer dan de som der delen)
27-03-2021, 19:57 door Anoniem
Wow, is Samsung zo duur geworden? 1299,- voor het top model met 256Gb
29-03-2021, 09:08 door _R0N_
Door Anoniem: Welke staat heeft deze aanval actief misbruikt en hoe weet google dit?

Een westerse, met de VS bevriende, staat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.