Een beveiligingsonderzoeker van Google heeft een kwetsbaarheid in iOS en iPadOS ontdekt waardoor het mogelijk is om iPhones en iPads op afstand volledig over te nemen. Het beveiligingslek, aangeduid als CVE-2022-32788, bevindt zich in AppleAVD, een framework voor het decoderen van audio en video.
Bij veel kwetsbaarheden die op afstand zijn te misbruiken kan een aanvaller code met de rechten van de ingelogde gebruiker of applicatie uitvoeren. In het geval van het beveiligingslek dat Google-onderzoeker Natalie Silvanovich ontdekte kan een "remote user" code met kernelrechten kan uitvoeren, waardoor verregaande controle over het toestel mogelijk is.
Volgens Apple gaat het om een "buffer overflow" in AppleAVD die een dergelijke aanval mogelijk maakt, maar verdere details worden niet gegeven. Eind maart kwam Apple nog met een beveiligingsupdate voor een actief aangevallen zerodaylek in AppleAVD waarmee iPhone-gebruikers werden aangevallen. De impact van dit beveiligingslek (CVE-2022-22675) was echter kleiner dan de nu verholpen kwetsbaarheid, aangezien een aanvaller al toegang tot de iPhone moest hebben om er misbruik van te maken.
Naast de kwetsbaarheid in AppleAVD heeft Apple ook een beveiligingslek in CoreText verholpen waarmee een aanvaller op afstand code op iPhones en iPads kan uitvoeren. CoreText is een low-level programmeer-interface voor het verwerken van tekst en fonts. Het beveiligingslek (CVE-2022-32839) is ontdekt door een onderzoeker van het Singaporese securitybedrijf Star Labs. De impact van dit lek is echter kleiner dan het door Google ontdekte lek, omdat een aanvaller in dit geval geen kernelrechten krijgt. Kwetsbaarheid CVE-2022-32839 is ook aanwezig in macOS. Star Labs zegt dat het meer details over het beveiligingslek zal geven als ook een ander aan Apple gerapporteerde kwetsbaarheid is verholpen.
Verder is Apple ook met updates gekomen voor kwetsbaarheden in ICU, ImageIO en WebKit die het mogelijk maken voor een aanvaller om via malafide webcontent en bestanden willekeurige code uit te voeren. Bij deze beveiligingslekken wordt echter niet gemeld dat ze door een "remote user" zijn te misbruiken. Updaten naar iOS 15.6 en iPadOS 15.6 kan via iTunes en de Software Update-functie van iOS en iPadOS.
Deze posting is gelocked. Reageren is niet meer mogelijk.