Apple verhelpt actief aangevallen zerodaylekken in iOS en macOS
Apple heeft beveiligingsupdates voor iOS en macOS uitgebracht waarmee twee actief aangevallen zerodaylekken worden verholpen. Het gaat om een kwetsbaarheid in WebKit Storage van iOS en macOS die het uitvoeren van willekeurige code mogelijk maakt en een beveiligingslek in macOS waardoor de Gatekeeper-beveiliging is te omzeilen.
Het beveiligingslek in WebKit Storage, aanwezig in iPadOS, iOS en macOS, kan ervoor zorgen dat een aanvaller willekeurige code op het systeem kan uitvoeren als er een kwaadaardige of malafide website wordt bezocht. Verdere details zijn niet gegeven, behalve dat het lek werd gevonden en gemeld door onderzoeker "yangkang" van securitybedrijf Qihoo 360. De onderzoeker laat op Twitter weten dat het verhaal rond de kwetsbaarheid nog een vervolg krijgt. Gebruikers van iOS en iPadOS wordt aangeraden om te updaten naar iPadOS en iOS 14.5.
Het tweede zerodaylek is aanwezig in macOS en maakt het mogelijk voor een malafide applicatie om de GateKeeper-controle te omzeilen. Apple heeft verschillende maatregelen aan macOS toegevoegd om het uitvoeren van kwaadaardige applicaties te voorkomen. Het beveiligingslek, aangeduid als CVE-2021-30657, zorgt ervoor dat malware deze controles kan omzeilen. Het gaat onder andere om de controle op een digitale handtekening.
Daarnaast maakt het lek het ook mogelijk om de verplichte notarization te omzeilen. Alle software voor macOS 10.15 (Catalina) en nieuwer die van een Developer ID is voorzien moet een "notarizing" proces ondergaan. Via een geautomatiseerd systeem controleert Apple de software op kwaadaardige content en andere zaken. Dit moet gebruikers meer zekerheid over de software geven.
De kwetsbaarheid werd gebruikt door een variant van Shlayer-malware, die adware op systemen installeert. De malware verspreidt zich via zoekresultaten die naar malafide en gecompromitteerde websites wijzen. Zodra slachtoffers deze websites bezoeken krijgen ze een melding om een update voor Adobe Flash Player te installeren. Dit is echter de Shlayer-malware, meldt securitybedrijf Jamf in een analyse.
"Dit beveiligingslek kan voor een verkeerde classificatie van bepaalde applicaties zorgen en zorgt ervoor dat de policy engine belangrijke securitylogica overslaat, zoals het waarschuwen en blokkeren van onbetrouwbare applicaties", voegt beveiligingsonderzoeker Patrick Wardle toe. Apple heeft de kwetsbaarheid in macOS Big Sur 11.3 verholpen.
Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A use after free issue was addressed with improved memory management.
CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Zo is bij de instellingen onder privacy de optie tracking toegevoegd. Wanneer die uit staat hebben apps geen toegang tot het reclame-ID van het apparaat.
Wanneer Face-id niet werkt door gebruik van een mondkapje kan je Apple Watch de verificatie overnemen.
Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A use after free issue was addressed with improved memory management.
CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A use after free issue was addressed with improved memory management.
CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A use after free issue was addressed with improved memory management.
CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Ik lees dat toch anders:
WebKit Storage
Available for: macOS Big Sur
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Dat lijkt mij toch echt een "driveby" issue.
Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A use after free issue was addressed with improved memory management.
CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Ik lees dat toch anders:
WebKit Storage
Available for: macOS Big Sur
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Dat lijkt mij toch echt een "driveby" issue.
Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A use after free issue was addressed with improved memory management.
CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Ik lees dat toch anders:
WebKit Storage
Available for: macOS Big Sur
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Dat lijkt mij toch echt een "driveby" issue.
Je maakt een denkfout door aan te nemen dat dit zo werkt op unix, in dit geval is er geen andere gebruikersinteractie nodig dan een geprepareerde website te bezoeken.
Gewoon even de link in het artikel naar het security advisory van Apple volgen en daar staat zwart op wit:
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A use after free issue was addressed with improved memory management.
CVE-2021-30661: yangkang(@dnpushme) of 360 ATA
Ik lees dat toch anders:
WebKit Storage
Available for: macOS Big Sur
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Dat lijkt mij toch echt een "driveby" issue.
Je maakt een denkfout door aan te nemen dat dit zo werkt op unix, in dit geval is er geen andere gebruikersinteractie nodig dan een geprepareerde website te bezoeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
