image

Malafide afbeelding en pdf maakt uitvoeren van code op iPhones mogelijk

woensdag 27 oktober 2021, 09:59 door Redactie, 0 reacties

IOS en iPadOS bevatten verschillende kwetsbaarheden waardoor het openen van een malafide afbeelding of pdf een aanvaller willekeurige code op het toestel laat uitvoeren. Ook alleen het bezoeken van een malafide website of het uitpakken van een geprepareerd archiefbestand kan een aanvaller toegang tot het toestel geven. Apple heeft beveiligingsupdates uitgebracht om de beveiligingslekken te verhelpen.

Met iOS 14.8.1 en iPadOS 14.8.1 zijn voor zover nu bekend twaalf kwetsbaarheden verholpen, terwijl er 22 beveiligingslekken met iOS 15.1 en iPadOS 15.1 zijn opgelost. Onderzoekers van Google vonden een kwetsbaarheid in ColorSync van iOS bij het verwerken van ICC-profielen. Door middel van een malafide afbeelding zou een aanvaller zo willekeurige code kunnen uitvoeren.

Een beveiligingslek in ander onderdeel van iOS, namelijk CoreGraphics, maakt een zelfde soort aanval mogelijk, alleen dan via een malafide pdf. Om beide kwetsbaarheden te verhelpen heeft Apple de invoervalidatie verbeterd. Tevens heeft Apple een kwetsbaarheid in WebKit gepatcht, de door Apple ontwikkelde browser-engine waar Safari en alle andere browsers op iOS gebruik van maken. Alleen het bezoeken van een malafide website zou een aanvaller ook willekeurige code kunnen laten uitvoeren. Een kwetsbaarheid in FileProvider zorgt ervoor dat het uitpakken van een malafide archiefbestand tot arbitrary code execution kan leiden.

Verder zijn meerdere kwetsbaarheden verholpen waardoor malafide apps code met kernelrechten kunnen uitvoeren. Daarnaast maakte een lek in Siri het voor een aanvaller met fysieke toegang tot een iPhone mogelijk om contacten op een vergrendeld scherm te bekijken. Updaten naar de nieuwste iOS- en iPadOS-versies kan via iTunes en de Software Update-functie.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.