Apple heeft een actief aangevallen zerodaylek in iOS nu ook in oudere iPhones en iPads verholpen. Op 13 december kwam Apple met een beveiligingsupdate voor een kwetsbaarheid in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken.
Via het beveiligingslek, aangeduid als CVE-2022-42856, kan een aanvaller willekeurige code op het systeem uitvoeren, waarbij alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie voldoende is. Dergelijke aanvallen worden ook wel een drive-by download genoemd.
De kwetsbaarheid was ontdekt door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Volgens Apple is het lek gebruikt in aanvallen tegen iOS-versies voor iOS 15.1. Verdere details over de aanvallen zijn niet gegeven.
De update die Apple vorige maand uitbracht, iOS 16.1.2, is alleen beschikbaar voor nieuwere iPhones. Gebruikers van oudere iPhones en iPads zaten zonder update. Nu heeft Apple iOS 12.5.7 beschikbaar gemaakt voor de iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 en iPod touch waarin het probleem is verholpen. Het komt vaker voor dat Apple actief aangevallen zerodaylekken pas later in oudere modellen verhelpt.
Deze posting is gelocked. Reageren is niet meer mogelijk.