image

Apple dicht actief aangevallen zerodaylek in iOS en macOS

maandag 13 februari 2023, 22:55 door Redactie, 12 reacties

Apple heeft vanavond beveiligingsupdates uitgebracht voor een actief aangevallen zerodaylek in iOS en macOS. De kwetsbaarheid, aangeduid als CVE-2023-23529, is aanwezig in WebKit en laat een aanvaller willekeurige code op het systeem uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is hiervoor voldoende.

Dergelijke aanvallen worden ook wel een drive-by download genoemd. Details over de aanvallen zijn niet door Apple gegeven en ook de naam van de onderzoeker die het probleem aan het techbedrijf rapporteerde is niet bekendgemaakt. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken.

Het zerodaylek is verholpen in iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 en Safari 16.3.1 voor macOS Big Sur en macOS Monterey. Updaten kan via iTunes, de updatefunctie en de Mac App Store. Vorig jaar kwam Apple ook met patches voor meerdere zerodays in WebKit.

Reacties (12)
13-02-2023, 23:59 door Anoniem
Dus de eigenaar van een website kan mijn eigendom overnemen en ik zelf kan niet root worden? Wat een wereld!
14-02-2023, 07:35 door Anoniem
Zelfs de iPhone 5s heeft nog een update gekregen, dus alle toestellen van 5s t/m nu krijgen een patch.
14-02-2023, 08:57 door Anoniem
Doet je afvragen hoeveel gaten er nog wel niet meer in WebKit zitten.
Ik begrijp dat het een high-value target is en vast en zeker complexe code maar er worden toch wel heel vaak problemen gevonden.

Een ad-blocker is hier onderdeel van het security beleid.
14-02-2023, 08:59 door Anoniem
Er zijn ook updates voor Apple TV en Apple Watch, hebben die ook last van het zerodaylek?
14-02-2023, 13:08 door Anoniem
Wanneer 1 stukje code zo belangrijk is, moet je die zo simpel mogelijk en zo secure mogelijk houden als maar kan, tenzij dat noot je bedoeling is geweest en je smartphones meer bedoeld zijn om de meute af te kunnen luisteren...

Ik vind dat er in Amerikaanse software erg vervelende designkeuzes gemaakt worden... Maar wel tegen de rest van de wereld roepen 'terroristen!! afluisteren!!'.... terwijl we tot nu toe eigen via snowden en assange alleen maar gehoord en gezien hebben dat onze vrienden erger zijn dan onze vijanden...
14-02-2023, 15:19 door Aalard99
Blijf het nog steeds bijzonder vinden dat ik niet automatisch de update krijg op mijn iPhone 14 pro. Ik moet echt eerst zelf zoeken naar updates en dat komt deze pas naar voren. Waarom krijg ik niet gewoon een automatische melding dat er een update gedownload kan worden....?
14-02-2023, 15:45 door Aalard99
Door Anoniem:
Ik vind dat er in Amerikaanse software erg vervelende designkeuzes gemaakt worden... Maar wel tegen de rest van de wereld roepen 'terroristen!! afluisteren!!'.... terwijl we tot nu toe eigen via snowden en assange alleen maar gehoord en gezien hebben dat onze vrienden erger zijn dan onze vijanden...

Of onze 'vrienden' erger zijn dat weet ik niet, denk dat je in de basis niets kan vertrouwen, of dit nu uit China of de US of zelf uit de EU komt.
14-02-2023, 17:10 door Anoniem
Door Aalard99: Blijf het nog steeds bijzonder vinden dat ik niet automatisch de update krijg op mijn iPhone 14 pro. Ik moet echt eerst zelf zoeken naar updates en dat komt deze pas naar voren. Waarom krijg ik niet gewoon een automatische melding dat er een update gedownload kan worden....?

Heb ik ook op mijn toestellen.
15-02-2023, 09:00 door Anoniem
Door Anoniem: Dus de eigenaar van een website kan mijn eigendom overnemen en ik zelf kan niet root worden? Wat een wereld!
Dat ligt denk ik meer aan jezelf. De meeste Mac gebruikers weten hoe ze root moeten worden.
15-02-2023, 09:06 door Anoniem
Door Anoniem:
Door Aalard99: Blijf het nog steeds bijzonder vinden dat ik niet automatisch de update krijg op mijn iPhone 14 pro. Ik moet echt eerst zelf zoeken naar updates en dat komt deze pas naar voren. Waarom krijg ik niet gewoon een automatische melding dat er een update gedownload kan worden....?

Heb ik ook op mijn toestellen.

Als je wacht op de automatische update, dat kan wel een weekje duren. Doe dat dus niet.
15-02-2023, 09:52 door Anoniem
Door Anoniem: Dus de eigenaar van een website kan mijn eigendom overnemen en ik zelf kan niet root worden? Wat een wereld!
Hacker wordt geen root want jij surft niet met root rechten!
15-02-2023, 10:13 door Anoniem
Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is hiervoor voldoende.
Dergelijke aanvallen worden ook wel een drive-by download genoemd. Details over de aanvallen zijn niet door Apple gegeven
Hoe komt security.nl hierbij? bron? Het is trouwens drive-by download infectie want alleen downloaden doet niks. Hoe wordt deze kwaadaardige gedownloade code uitgevoerd?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.