Twee actief aangevallen zerodaylekken in iOS en macOS maken het mogelijk voor aanvallers om systemen volledig over te nemen, waarbij alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie voldoende is. Apple heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen.
De beveiligingslekken bevinden zich in IOSurfaceAccelerator (CVE-2023-28206) en WebKit (CVE-2023-28205), de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via de kwetsbaarheid in WebKit kan een aanvaller door middel van een drive-by download, waarbij zoals gezegd het verwerken van malafide webcontent voldoende is en er geen verdere interactie van de gebruiker is vereist, willekeurige code op toestellen uitvoeren.
Het beveiligingslek in IOSurfaceAccelerator maakt het mogelijk voor een malafide app om willekeurige code met kernelrechten uit te voeren. Zo kan er volledige controle over het apparaat worden verkregen. De beveiligingslekken zijn zeer vermoedelijk in tandem gebruikt, waarbij een aanvaller eerst via het lek in WebKit toegang krijgt en vervolgens via de kwetsbaarheid in IOSurfaceAccelerator zijn rechten verhoogt.
Beide beveiligingslekken werden gevonden en gerapporteerd door onderzoekers van Amnesty International en Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Onlangs kwamen zowel Amnesty als Google met een rapport over het gebruik van zerodaylekken om Android- en iOS-gebruikers met spyware te infecteren.
Apple heeft beide kwetsbaarheden verholpen in iOS 16.4.1, iPadOS 16.4.1 en macOS Ventura 13.3.1. Voor gebruikers van macOS Big Sur en macOS Monterey is Safari 16.4.1 verschenen, waarin alleen de WebKit-kwetsbaarheid is opgelost.
Deze posting is gelocked. Reageren is niet meer mogelijk.