image

Apple verhelpt actief aangevallen zerodaylekken in iOS en macOS

dinsdag 27 april 2021, 21:27 door Redactie, 9 reacties

Apple heeft beveiligingsupdates voor iOS en macOS uitgebracht waarmee twee actief aangevallen zerodaylekken worden verholpen. Het gaat om een kwetsbaarheid in WebKit Storage van iOS en macOS die het uitvoeren van willekeurige code mogelijk maakt en een beveiligingslek in macOS waardoor de Gatekeeper-beveiliging is te omzeilen.

Het beveiligingslek in WebKit Storage, aanwezig in iPadOS, iOS en macOS, kan ervoor zorgen dat een aanvaller willekeurige code op het systeem kan uitvoeren als er een kwaadaardige of malafide website wordt bezocht. Verdere details zijn niet gegeven, behalve dat het lek werd gevonden en gemeld door onderzoeker "yangkang" van securitybedrijf Qihoo 360. De onderzoeker laat op Twitter weten dat het verhaal rond de kwetsbaarheid nog een vervolg krijgt. Gebruikers van iOS en iPadOS wordt aangeraden om te updaten naar iPadOS en iOS 14.5.

Het tweede zerodaylek is aanwezig in macOS en maakt het mogelijk voor een malafide applicatie om de GateKeeper-controle te omzeilen. Apple heeft verschillende maatregelen aan macOS toegevoegd om het uitvoeren van kwaadaardige applicaties te voorkomen. Het beveiligingslek, aangeduid als CVE-2021-30657, zorgt ervoor dat malware deze controles kan omzeilen. Het gaat onder andere om de controle op een digitale handtekening.

Daarnaast maakt het lek het ook mogelijk om de verplichte notarization te omzeilen. Alle software voor macOS 10.15 (Catalina) en nieuwer die van een Developer ID is voorzien moet een "notarizing" proces ondergaan. Via een geautomatiseerd systeem controleert Apple de software op kwaadaardige content en andere zaken. Dit moet gebruikers meer zekerheid over de software geven.

De kwetsbaarheid werd gebruikt door een variant van Shlayer-malware, die adware op systemen installeert. De malware verspreidt zich via zoekresultaten die naar malafide en gecompromitteerde websites wijzen. Zodra slachtoffers deze websites bezoeken krijgen ze een melding om een update voor Adobe Flash Player te installeren. Dit is echter de Shlayer-malware, meldt securitybedrijf Jamf in een analyse.

"Dit beveiligingslek kan voor een verkeerde classificatie van bepaalde applicaties zorgen en zorgt ervoor dat de policy engine belangrijke securitylogica overslaat, zoals het waarschuwen en blokkeren van onbetrouwbare applicaties", voegt beveiligingsonderzoeker Patrick Wardle toe. Apple heeft de kwetsbaarheid in macOS Big Sur 11.3 verholpen.

Reacties (9)
27-04-2021, 22:49 door Anoniem
Het beveiligingslek in WebKit Storage, aanwezig in iPadOS, iOS en macOS, kan ervoor zorgen dat een aanvaller willekeurige code op het systeem kan uitvoeren als er een kwaadaardige of malafide website wordt bezocht.
Dit suggereert dat een drive-by download infectie mogelijk is. Dat is niet zo. Dat kan alleen onder windows (en misschien Android?) De gebruiker zal zelf na download moeten installeren.
28-04-2021, 09:38 door Anoniem
Door Anoniem:
Het beveiligingslek in WebKit Storage, aanwezig in iPadOS, iOS en macOS, kan ervoor zorgen dat een aanvaller willekeurige code op het systeem kan uitvoeren als er een kwaadaardige of malafide website wordt bezocht.
Dit suggereert dat een drive-by download infectie mogelijk is. Dat is niet zo. Dat kan alleen onder windows (en misschien Android?) De gebruiker zal zelf na download moeten installeren.
Volgens Apple is een aanval wel degelijk als drive-by download mogelijk. En ik denk dat Apple dit voor haar producten beter kan inschatten dan een anonieme poster op security.nl.

Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
WebKit Storage

Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Description: A use after free issue was addressed with improved memory management.

CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
28-04-2021, 12:04 door Anoniem
Er zit overigens meer in de 14.5 update dan alleen het verhelpen van de zeroday lekken.
Zo is bij de instellingen onder privacy de optie tracking toegevoegd. Wanneer die uit staat hebben apps geen toegang tot het reclame-ID van het apparaat.
Wanneer Face-id niet werkt door gebruik van een mondkapje kan je Apple Watch de verificatie overnemen.
28-04-2021, 13:33 door Anoniem
Door Anoniem:
Door Anoniem:
Het beveiligingslek in WebKit Storage, aanwezig in iPadOS, iOS en macOS, kan ervoor zorgen dat een aanvaller willekeurige code op het systeem kan uitvoeren als er een kwaadaardige of malafide website wordt bezocht.
Dit suggereert dat een drive-by download infectie mogelijk is. Dat is niet zo. Dat kan alleen onder windows (en misschien Android?) De gebruiker zal zelf na download moeten installeren.
Volgens Apple is een aanval wel degelijk als drive-by download mogelijk. En ik denk dat Apple dit voor haar producten beter kan inschatten dan een anonieme poster op security.nl.

Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
WebKit Storage

Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Description: A use after free issue was addressed with improved memory management.

CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Sick burn
28-04-2021, 13:51 door Anoniem
Door Anoniem:
Door Anoniem:
Het beveiligingslek in WebKit Storage, aanwezig in iPadOS, iOS en macOS, kan ervoor zorgen dat een aanvaller willekeurige code op het systeem kan uitvoeren als er een kwaadaardige of malafide website wordt bezocht.
Dit suggereert dat een drive-by download infectie mogelijk is. Dat is niet zo. Dat kan alleen onder windows (en misschien Android?) De gebruiker zal zelf na download moeten installeren.
Volgens Apple is een aanval wel degelijk als drive-by download mogelijk. En ik denk dat Apple dit voor haar producten beter kan inschatten dan een anonieme poster op security.nl.

Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
WebKit Storage

Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Description: A use after free issue was addressed with improved memory management.

CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Nee hoor. In de security advisory van Apple staat niets over een driveby download infectie. Je moet het zelf actief installeren uit onbekende bron.
28-04-2021, 14:38 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het beveiligingslek in WebKit Storage, aanwezig in iPadOS, iOS en macOS, kan ervoor zorgen dat een aanvaller willekeurige code op het systeem kan uitvoeren als er een kwaadaardige of malafide website wordt bezocht.
Dit suggereert dat een drive-by download infectie mogelijk is. Dat is niet zo. Dat kan alleen onder windows (en misschien Android?) De gebruiker zal zelf na download moeten installeren.
Volgens Apple is een aanval wel degelijk als drive-by download mogelijk. En ik denk dat Apple dit voor haar producten beter kan inschatten dan een anonieme poster op security.nl.

Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
WebKit Storage

Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Description: A use after free issue was addressed with improved memory management.

CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Nee hoor. In de security advisory van Apple staat niets over een driveby download infectie. Je moet het zelf actief installeren uit onbekende bron.

Ik lees dat toch anders:

WebKit Storage

Available for: macOS Big Sur

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Dat lijkt mij toch echt een "driveby" issue.
28-04-2021, 17:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het beveiligingslek in WebKit Storage, aanwezig in iPadOS, iOS en macOS, kan ervoor zorgen dat een aanvaller willekeurige code op het systeem kan uitvoeren als er een kwaadaardige of malafide website wordt bezocht.
Dit suggereert dat een drive-by download infectie mogelijk is. Dat is niet zo. Dat kan alleen onder windows (en misschien Android?) De gebruiker zal zelf na download moeten installeren.
Volgens Apple is een aanval wel degelijk als drive-by download mogelijk. En ik denk dat Apple dit voor haar producten beter kan inschatten dan een anonieme poster op security.nl.

Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
WebKit Storage

Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Description: A use after free issue was addressed with improved memory management.

CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Nee hoor. In de security advisory van Apple staat niets over een driveby download infectie. Je moet het zelf actief installeren uit onbekende bron.

Ik lees dat toch anders:

WebKit Storage

Available for: macOS Big Sur

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Dat lijkt mij toch echt een "driveby" issue.
Lees je echt verkeerd. may lead (als je het actief installeert, dat gaat niet automatisch op een UNIX systeem, tenzij je zelf de browser hebt verbouwd)
29-04-2021, 08:25 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het beveiligingslek in WebKit Storage, aanwezig in iPadOS, iOS en macOS, kan ervoor zorgen dat een aanvaller willekeurige code op het systeem kan uitvoeren als er een kwaadaardige of malafide website wordt bezocht.
Dit suggereert dat een drive-by download infectie mogelijk is. Dat is niet zo. Dat kan alleen onder windows (en misschien Android?) De gebruiker zal zelf na download moeten installeren.
Volgens Apple is een aanval wel degelijk als drive-by download mogelijk. En ik denk dat Apple dit voor haar producten beter kan inschatten dan een anonieme poster op security.nl.

Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
WebKit Storage

Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Description: A use after free issue was addressed with improved memory management.

CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Nee hoor. In de security advisory van Apple staat niets over een driveby download infectie. Je moet het zelf actief installeren uit onbekende bron.

Ik lees dat toch anders:

WebKit Storage

Available for: macOS Big Sur

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Dat lijkt mij toch echt een "driveby" issue.
Lees je echt verkeerd. may lead (als je het actief installeert, dat gaat niet automatisch op een UNIX systeem, tenzij je zelf de browser hebt verbouwd)

Je maakt een denkfout door aan te nemen dat dit zo werkt op unix, in dit geval is er geen andere gebruikersinteractie nodig dan een geprepareerde website te bezoeken.
29-04-2021, 09:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Het beveiligingslek in WebKit Storage, aanwezig in iPadOS, iOS en macOS, kan ervoor zorgen dat een aanvaller willekeurige code op het systeem kan uitvoeren als er een kwaadaardige of malafide website wordt bezocht.
Dit suggereert dat een drive-by download infectie mogelijk is. Dat is niet zo. Dat kan alleen onder windows (en misschien Android?) De gebruiker zal zelf na download moeten installeren.
Volgens Apple is een aanval wel degelijk als drive-by download mogelijk. En ik denk dat Apple dit voor haar producten beter kan inschatten dan een anonieme poster op security.nl.

Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
WebKit Storage

Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Description: A use after free issue was addressed with improved memory management.

CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Nee hoor. In de security advisory van Apple staat niets over een driveby download infectie. Je moet het zelf actief installeren uit onbekende bron.

Ik lees dat toch anders:

WebKit Storage

Available for: macOS Big Sur

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Dat lijkt mij toch echt een "driveby" issue.
Lees je echt verkeerd. may lead (als je het actief installeert, dat gaat niet automatisch op een UNIX systeem, tenzij je zelf de browser hebt verbouwd)

Je maakt een denkfout door aan te nemen dat dit zo werkt op unix, in dit geval is er geen andere gebruikersinteractie nodig dan een geprepareerde website te bezoeken.
Onder UNIX komt alles readonly binnen en zal je het execute bitje moeten setten om uit te kunnen voeren. Driveby download infectie is alleen onder windows en android? mogelijk. Ook in dit geval is er geen beijs geleverd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.