Apple heeft beveiligingsupdates uitgebracht voor twee actief aangevallen zerodaylekken in iOS en macOS. Via de kwetsbaarheden zou een aanvaller volledige controle over het systeem kunnen krijgen. De eerste kwetsbaarheid, CVE-2022-32893, bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Daarnaast maakt Safari op macOS gebruik van WebKit.
Door alleen een kwaadaardige of gecompromitteerde website te bezoeken of een besmette advertentie te zien kan een aanvaller willekeurige code op het systeem uitvoeren. Er is geen verdere interactie van gebruikers vereist. Dergelijke aanvallen worden ook wel een drive-by download genoemd. De tweede kwetsbaarheid, CVE-2022-32894, is aanwezig in de kernel van iOS, iPadOS en macOS.
Dit beveiligingslek geeft een aanvaller die al toegang tot het systeem heeft, of een malafide applicatie, de mogelijkheid om kernelrechten te krijgen. Via alleen deze kwetsbaarheid is het niet mogelijk om systemen op afstand over te nemen, maar het is mogelijk om CVE-2022-32893 en CVE-2022-32894 te combineren. Daarmee krijgt een aanvaller volledige controle over het systeem.
Beide kwetsbaarheden werden door een anonieme beveiligingsonderzoeker aan Apple gerapporteerd. Gebruikers wordt aangeraden om te updaten naar macOS Monterey 12.5.1 en iOS/iPadOS 15.6.1. Dit kan via ingebouwde updatefunctie of de Mac Appstore en het geval van iPhones en iPads via iTunes. Apple heeft geen details over de aanvallen gegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.