Apple verhielp met recente updates meer kwetsbaarheden dan het eerst meldde
Apple heeft met recente beveiligingsupdates voor iOS en macOS meer kwetsbaarheden verholpen dan het bedrijf eerst meldde. Dat blijkt uit een update van de betreffende beveiligingsbulletins. Het gaat om macOS Ventura 13.2, iOS 16.3 en iPadOS 16.3, die op 23 januari verschenen en meerdere beveiligingslekken verhielpen.
Gisteren werden de beveiligingsbulletins met drie niet eerder gemelde kwetsbaarheden bijgewerkt. Het gaat om CVE-2023-23520, CVE-2023-23530 en CVE-2023-23531. De eerste kwetsbaarheid maakt het mogelijk voor een gebruiker om willekeurige bestanden als root te lezen. De andere twee beveiligingslekken bieden een malafide app de mogelijkheid om willekeurige code buiten de sandbox uit te voeren of dit met bepaalde rechten te doen.
Volgens securitybedrijf Trellix, dat CVE-2023-23530 en CVE-2023-23531 ontdekte, gaat het om een nieuwe klasse van 'privilege escalation' kwetsbaarheden, waardoor een lokale aanvaller of malafide app hogere rechten kunnen krijgen. Apple kwam eind 2021 met een mitigatie voor een zero-click exploit voor iOS, die voornamelijk uit denylists bestond. De onderzoekers van Trellix ontdekten een methode om deze denylists te legen, waardoor de eerdere aanvalsmethodes weer beschikbaar waren.
Het komt vaker voor dat Apple eerder uitgegeven beveiligingsbulletins op een later moment van verdere informatie voorziet. Iets waar onder andere Google in het verleden kritiek op uitte.
Als hun malware scanner iets vindt, dan wordt dit ook niet gemeld aan de gebruiker, maar alleen aan Apple zelf.
Of het OS veiliger is dan andere OSen heeft natuurlijk weinig te maken met hoeveel ze erover melden.
Een kwaadwillende weet ook niet dat de kwetsbaarheden aanwezig zijn. Geeft de gebruiker eerst de mogelijkheid deze te patchen voordat de informatie publiekelijk word. Veel Malware wordt ook geschreven op bestaande kwetsbaarheden.
Een kwaadwillende weet ook niet dat de kwetsbaarheden aanwezig zijn. Geeft de gebruiker eerst de mogelijkheid deze te patchen voordat de informatie publiekelijk word. Veel Malware wordt ook geschreven op bestaande kwetsbaarheden.
Dan ga je er van uit dat dit al niet bekend was bij 'the bad guys'
Veel kwetsbaarheden worden gevonden doordat deze al actief aangevallen worden en daardoor gedetecteerd.
Door bekend te maken waar het probleem zit kunnen gebruikers er voor kiezen om de software te vermijden of bepaalde functionaliteit uit te schakelen tot de daadwerkelijke fix.
Er valt dus voor beide kanten wat te zeggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
