Nieuws
image

Apple dicht kritieke kwetsbaarheden in bluetooth en Face ID in iOS

dinsdag 21 september 2021, 10:01 door Redactie, 3 reacties

Apple heeft beveiligingsupdates uitgebracht voor iOS en iPadOS waarmee meerdere kritieke kwetsbaarheden zijn verholpen waardoor aanvallers toegang tot iPhones en iPads kunnen krijgen. De beveiligingslekken zijn onder andere aanwezig in bluetooth en Face ID.

Recentelijk kwam Apple met iOS 14.8 en iPadOS 14.8 waarmee twee actief aangevallen zerodaylekken in de besturingssystemen werden verholpen. Nu laat Apple weten dat deze updates veel meer kwetsbaarheden verhelpen dan in eerste instantie werd aangegeven. Iets wat Apple vaker doet. Naast de twee eerder genoemde zerodaylekken zijn er elf andere kwetsbaarheden opgelost.

Het gaat onder andere om een kwetsbaarheid in bluetooth aangeduid als CVE-2021-30820. Via dit bluetooth-lek kan een aanvaller op afstand willekeurige code op iPhones en iPads uitvoeren. Verdere details worden echter niet door Apple gegeven. Voor zover bekend is er geen misbruik van het beveiligingslek gemaakt.

Verder zijn er meerdere kwetsbaarheden in de FontParser van iOS en iPadOS verholpen. Door het verwerken van een kwaadaardig font is het mogelijk voor een aanvaller om willekeurige code uit te voeren. Verder zijn verschillende lekken in WebKit opgelost, de door Apple ontwikkelde browser-engine waar Safari en alle andere browsers op iOS gebruik van maken.

Door de kwetsbaarheden is alleen het bezoeken van een malafide website voldoende om een aanvaller willekeurige code op het systeem te laten uitvoeren. Er is geen verdere interactie van gebruikers vereist. Dit wordt ook wel een drive-by download-aanval genoemd.

IOS en iPadOS 15

Naast de aanvullende informatie over iOS en iPadOS 14.8 heeft Apple ook iOS en iPadOS 15 uitgerold. Deze versies verhelpen verschillende kwetsbaarheden die niet in iOS en iPadOS 14.8 staan vermeld. Het gaat onder andere om een beveiligingslek in Face ID waardoor een aanvaller met een 3D-model de gezichtsscan van iPhones en iPads kan omzeilen om zo toegang tot het apparaat te krijgen. Verdere details over het lek worden niet door Apple gegeven, behalve dat de anti-spoofingmodellen van Face ID zijn verbeterd.

Verder was het mogelijk voor een lokale aanvaller met toegang tot een vergrendeld apparaat om via Siri contactgegevens te bekijken. Een kwetsbaarheid in de wifi-functionaliteit van iPhones en iPads maakte het mogelijk voor een aanvaller in de buurt van een gebruiker om die tijdens het instellen van het toestel verbinding met een kwaadaardig wifi-netwerk te laten maken. De updates voor iOS en iPadOS zijn beschikbaar via iTunes en de Software Update-functie.

Reacties (3)
21-09-2021, 15:59 door Anoniem
Oorverdovend stil ... Apple kan zich steeds beter meten met MS. Het valt gewoon niet mee om complexe technology bulletproof te maken. Jammer dat sommigen dat wel claimen te zijn en zo voor schijnveiligheid zorgen.
22-09-2021, 09:25 door Anoniem
Inderdaad... Geen verkeerd woord over Apple.

Jammer dat een hoop mensen hier hun ware kleuren laten zien.
Geen enkel OS is bulletproof, net als er iets 'idiotproof' is. Er is altijd wel een grotere idioot die het net allemaal even anders doet.
22-09-2021, 13:33 door Anoniem
Nu laat Apple weten dat deze updates veel meer kwetsbaarheden verhelpen dan in eerste instantie werd aangegeven. Iets wat Apple vaker doet.
Maar als een andere OS leverancier dit doet, is de wereld te klein. Maar dit is helaas wel iets wat Apple vaker doet. Apple komt wel redelijk richting een dictatuur. Apple bepaald alles, vrijheid is beperkt.
En het is nooit Apple zijn fout.

Dit zijn wel typische apple kenmerken, die zich blijven herhalen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure