image

Apple verhelpt actief aangevallen zerodaylekken in iOS en macOS

zaterdag 8 april 2023, 08:21 door Redactie, 21 reacties

Twee actief aangevallen zerodaylekken in iOS en macOS maken het mogelijk voor aanvallers om systemen volledig over te nemen, waarbij alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie voldoende is. Apple heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen.

De beveiligingslekken bevinden zich in IOSurfaceAccelerator (CVE-2023-28206) en WebKit (CVE-2023-28205), de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via de kwetsbaarheid in WebKit kan een aanvaller door middel van een drive-by download, waarbij zoals gezegd het verwerken van malafide webcontent voldoende is en er geen verdere interactie van de gebruiker is vereist, willekeurige code op toestellen uitvoeren.

Het beveiligingslek in IOSurfaceAccelerator maakt het mogelijk voor een malafide app om willekeurige code met kernelrechten uit te voeren. Zo kan er volledige controle over het apparaat worden verkregen. De beveiligingslekken zijn zeer vermoedelijk in tandem gebruikt, waarbij een aanvaller eerst via het lek in WebKit toegang krijgt en vervolgens via de kwetsbaarheid in IOSurfaceAccelerator zijn rechten verhoogt.

Beide beveiligingslekken werden gevonden en gerapporteerd door onderzoekers van Amnesty International en Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Onlangs kwamen zowel Amnesty als Google met een rapport over het gebruik van zerodaylekken om Android- en iOS-gebruikers met spyware te infecteren.

Apple heeft beide kwetsbaarheden verholpen in iOS 16.4.1, iPadOS 16.4.1 en macOS Ventura 13.3.1. Voor gebruikers van macOS Big Sur en macOS Monterey is Safari 16.4.1 verschenen, waarin alleen de WebKit-kwetsbaarheid is opgelost.

Reacties (21)
08-04-2023, 09:02 door Anoniem
Dit is wat Apple er zelf van maakt:

"Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPad, waaronder:
- De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

Nu begrijp ik waarom Applefans zich altijd veilig wanen. Het echte probleem wordt verzwegen.
08-04-2023, 09:44 door Anoniem
Door Anoniem: Dit is wat Apple er zelf van maakt:

"Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPad, waaronder:
- De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

Nu begrijp ik waarom Applefans zich altijd veilig wanen. Het echte probleem wordt verzwegen.

Het linkje onder die tekst verwijst naar de details van de beveiligingsupdate.
Veel mensen zegt het natuurlijk helemaal niets wat daar staat. "belangrijke beveilingsupdate" moet dan de hint zijn.
Die link werkt meestal pas inhoudelijk de dag erna, ik denk zodat veel apparaten al kunnen worden voorzien van de update zonder dat ze meteen verklappen wat er aan de hand is (en kwaadwillenden kunnen gaan zoeken naar exploits, 1 days).

De rest is overtuiging waarom het ook nog eens leuk is de update toen doen, mijn inziens.
08-04-2023, 09:49 door Anoniem
Apple gebruikers wanen zich veiliger gezien zij altijd updates krijgen. Android fans krijgen de update vaker niet of pas vrij laat nadat de fabrikant de update beschikbaar heeft gesteld. Apple geeft daarmee een veiliger gevoel, maar is net zo kwetsbaar als ieder ander OS.

Ja, Apple telefoons zijn doorgaans duurder, maar daar krijg je wel gegarandeerd updates op. Die Android meuk is goedkoop en dat “betaal je” met onwerkbare, gebrekkige software, GUI schillen, bloatware en God weet hoeveel trackers
08-04-2023, 10:48 door Anoniem
Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken.
Toch mooi, keuzevrijheid van browsers....Helpt alleen niet in de veiligheid. En zoals hierboven vermeld, eigenlijk geen informatie over de security fix. Wat ook heel normaal is bij Apple.

MacOS ook.. Dat haat weer 15-20 installeren windows. Zelfs mijn Windows laptops doen dit sneller met updates.
08-04-2023, 11:51 door Anoniem
Hoezo driveby download infectie?: Successful exploitation requires user interaction by the victim https://vuldb.com/?id.225326
08-04-2023, 11:58 door Anoniem
Hoogtijd dat Apple SELinux gaat porten dan was het naast de buffer schrijven niet gelukt.
08-04-2023, 12:10 door Anoniem
Door Anoniem: Dit is wat Apple er zelf van maakt:

"Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPad, waaronder:
- De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

Nu begrijp ik waarom Applefans zich altijd veilig wanen. Het echte probleem wordt verzwegen.
Wat fijn dat u over ons spreekt, maar niet eens weet hoe we denken!
Want de Applegebruiker (waaronder ikzelf) heeft zich nooit veilig 'gewaand'.
08-04-2023, 12:12 door [Account Verwijderd]
Door Anoniem: Dit is wat Apple er zelf van maakt:

"Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPad, waaronder:
- De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

Nu begrijp ik waarom Applefans zich altijd veilig wanen. Het echte probleem wordt verzwegen.
Hier nu weer zo'n voorbeeld van een bijdrage waar niemand iets aan heeft.
08-04-2023, 12:20 door Anoniem
Door Anoniem: Dit is wat Apple er zelf van maakt:

"Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPad, waaronder:
- De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

Nu begrijp ik waarom Applefans zich altijd veilig wanen. Het echte probleem wordt verzwegen.

En dit is wat ik bij Apple op de site lees:

iOS 16.4.1 and iPadOS 16.4.1

Released April 7, 2023

IOSurfaceAccelerator
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: An app may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited.
Description: An out-of-bounds write issue was addressed with improved input validation.
CVE-2023-28206: Clément Lecigne of Google's Threat Analysis Group and Donncha Ó Cearbhaill of Amnesty International’s Security Lab

WebKit
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A use after free issue was addressed with improved memory management.
WebKit Bugzilla: 254797
CVE-2023-28205: Clément Lecigne of Google's Threat Analysis Group and Donncha Ó Cearbhaill of Amnesty International’s Security Lab
08-04-2023, 14:36 door Anoniem
Door Anoniem: Dit is wat Apple er zelf van maakt:

"Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPad, waaronder:
- De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

Nu begrijp ik waarom Applefans zich altijd veilig wanen. Het echte probleem wordt verzwegen.
Er wordt wel degelijk gerept van actief aangevallen lek op de website van Apple.
Het is dus niet wat Apple ervan gemaakt heeft, maar wat u ervan gemaakt heeft.
08-04-2023, 15:12 door Anoniem
Apple en Goolge brengen altijd redelijk snel security fixes uit voor gevonden kwetsbaarheden. Nadeel van Android is dat je dan vervolgens op de fabrikant van de telefoon moet wachten totdat de update ook op jouw toestel uitkomt.

Bij Apple wordt gelijk alles gepatched omdat er geen leverancier meer tussen zit. Als je dan toch Android neemt zou ik een Google toestel nemen zodat je ook snel deze fixes krijgt.

Ander voordeel is dat Apple de toestellen langer ondersteund, 5+ jaar is echt geen uitzondering......
08-04-2023, 17:09 door Briolet
Door Anoniem: - De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

De meeste mensen weten zich geen raad met een exacte uitleg van de kwetsbaarheden. Als je mensen wilt overhalen om deze update snel te installeren, dan motiveert een verbetering van de emoticons en Siri de massa van de gebruikers meer om te updaten.

As je er dieper over nadenkt is dit juist een goede aankondiging. (-:
08-04-2023, 23:20 door Anoniem
Door Anoniem: Apple en Goolge brengen altijd redelijk snel security fixes uit voor gevonden kwetsbaarheden. Nadeel van Android is dat je dan vervolgens op de fabrikant van de telefoon moet wachten totdat de update ook op jouw toestel uitkomt.

Bij Apple wordt gelijk alles gepatched omdat er geen leverancier meer tussen zit. Als je dan toch Android neemt zou ik een Google toestel nemen zodat je ook snel deze fixes krijgt.

Ander voordeel is dat Apple de toestellen langer ondersteund, 5+ jaar is echt geen uitzondering......
Niet bij elk toestel. Android one (https://www.coolblue.nl/advies/wat-is-android-one.htmlheeft geen apps van de fabrikant en worden snel ge-update net als de pixel van Google natuurlijk.
09-04-2023, 06:44 door Anoniem
Door DataX:
Door Anoniem: Dit is wat Apple er zelf van maakt:

"Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPad, waaronder:
- De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

Nu begrijp ik waarom Applefans zich altijd veilig wanen. Het echte probleem wordt verzwegen.
Hier nu weer zo'n voorbeeld van een bijdrage waar niemand iets aan heeft.

Klopt, waarschijnlijk van iemand met een Google Data Collector op zak.
09-04-2023, 17:32 door Anoniem
Door Anoniem:
Door DataX:
Door Anoniem: Dit is wat Apple er zelf van maakt:

"Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPad, waaronder:
- De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

Nu begrijp ik waarom Applefans zich altijd veilig wanen. Het echte probleem wordt verzwegen.
Hier nu weer zo'n voorbeeld van een bijdrage waar niemand iets aan heeft.

Klopt, waarschijnlijk van iemand met een Google Data Collector op zak.
en geen apple data collector....
10-04-2023, 06:26 door Anoniem
Door DataX:
Door Anoniem: Dit is wat Apple er zelf van maakt:

"Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPad, waaronder:
- De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

Nu begrijp ik waarom Applefans zich altijd veilig wanen. Het echte probleem wordt verzwegen.
Hier nu weer zo'n voorbeeld van een bijdrage waar niemand iets aan heeft.

O jawel, hoor. Als Applegebruiker stoor ik me hier al jaren aan. Zeker in de eerste uren, zoals al eerder is opgemerkt, kan je geen informatie vinden bij Apple zelf. Binnen een uur nadat ik de nieuwsberichten uit Amerika gelezen had, had ik mijn drie Apple devices ge-update.
Apple moet gewoon open zijn. Net als over privacy, waar ze ook doen alsof er geen privacy problemen zijn op hun platform.

Ik ben overigens wel benieuwd hoeveel mensen ook wel eens een app hebben die er zonder melding zomaar uit klapt. In de beginjaren dacht ik dat dat wel aan mij zou liggen, maar nu denk ik dat het zoiets als één of andere illegale schrijfactie in het geheugen is. Mooi dat iOS dat niet toestaat, maar geef een melding. Wees open.
En daar schort het bij Apple aan, hoe mooi hun spul ook is.
10-04-2023, 10:00 door Anoniem
Door Anoniem:
Door DataX:
Door Anoniem: Dit is wat Apple er zelf van maakt:

"Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPad, waaronder:
- De emoji met duwende handen toonde geen variaties voor huidskleur
- In sommige gevallen reageerde Siri niet"

Nu begrijp ik waarom Applefans zich altijd veilig wanen. Het echte probleem wordt verzwegen.
Hier nu weer zo'n voorbeeld van een bijdrage waar niemand iets aan heeft.

O jawel, hoor. Als Applegebruiker stoor ik me hier al jaren aan. Zeker in de eerste uren, zoals al eerder is opgemerkt, kan je geen informatie vinden bij Apple zelf. Binnen een uur nadat ik de nieuwsberichten uit Amerika gelezen had, had ik mijn drie Apple devices ge-update.
Apple moet gewoon open zijn. Net als over privacy, waar ze ook doen alsof er geen privacy problemen zijn op hun platform.

Ik ben overigens wel benieuwd hoeveel mensen ook wel eens een app hebben die er zonder melding zomaar uit klapt. In de beginjaren dacht ik dat dat wel aan mij zou liggen, maar nu denk ik dat het zoiets als één of andere illegale schrijfactie in het geheugen is. Mooi dat iOS dat niet toestaat, maar geef een melding. Wees open.
En daar schort het bij Apple aan, hoe mooi hun spul ook is.

Op het moment dat een leverancier van software een bug gepatched heeft wil je niet meteen aan de hele buitenwereld vertellen wat nu het probleem was. Criminelen maken hier dankbaar gebruik van door zo snel mogelijk een exploit te ontwikkenelen voordat iedereen de zaak weer gepatched heeft.

Overigens 'klapt' er bij mij nooit een App zomaar uit.
10-04-2023, 23:06 door Briolet
Door Anoniem:…Ik ben overigens wel benieuwd hoeveel mensen ook wel eens een app hebben die er zonder melding zomaar uit klapt.

Die zullen er vast wel zijn. Ik had het vrij recent nog met Filemaker die er plots uit knalde. 20 jaar gebruikt en nooit een probleem, maar net een nieuwe versie en binnen een paar week ging het mis.

Ik heb het heel vaak gehad in devellopment versies van eigen programmeerwerk. Je hoopt dit soort bugs er bij een release uit te hebben, maar je kunt het nooit garanderen.

maar nu denk ik dat het zoiets als één of andere illegale schrijfactie in het geheugen is.
Dat is idd een belangrijke bron. Zeker met een taal als objective C waar je zelf verantwoordelijk bent voor het geheuhenmanagement.
11-04-2023, 08:01 door Anoniem
Inmiddels is er ook een update voor iOS 15 (iOS 15.7.5).
11-04-2023, 17:02 door Anoniem
Deze zin verbaast mij het meest:

“ Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers”
19-04-2023, 12:49 door Briolet
Er was iets heel vreemds met de Ventura update MacOS 13.3. Of eigenlijk met de versie 13.2 die nog op de macs stond.

Ik had 2 te updaten en bij de 1e weigerde hij vanuit een admin account te updaten. Vanuit het user-account werd het admin wachtwoord niet geaccepteerd. En toen ik de update vanuit het admin account wilde doen, gebeurde er helemaal niets.

Tegen beter weten in ben ik weer terug gegaan naar het user-account en met dit account en wachtwoord de update gestart. Dat werkte direct. Bij de 2e mac heb ik direct als user ge-update.

Dit kon nooit en het is ook vreemd dat een user een update kan starten. En nog vreemder dat een admin juist geen update kan starten. ??? Maar goed, waarschijnlijk een bug in 13.2 en hopelijk opgelost in 13.3
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.