image

Apple verhelpt twee zerodays gebruikt bij aanvallen tegen iPhones

vrijdag 1 december 2023, 09:01 door Redactie, 4 reacties

Apple heeft twee zerodaylekken verholpen die zijn gebruikt bij het aanvallen van iPhones. Alleen het bezoeken van een malafide of gecompromitteerde website of te zien krijgen van besmette advertenties is voldoende voor iPhone-gebruikers om bijvoorbeeld met spyware besmet te worden. Verdere interactie van gebruikers is niet vereist.

De twee kwetsbaarheden, aangeduid als CVE-2023-42916 en CVE-2023-42917, bevinden zich in WebKit. Dit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via CVE-2023-42916 kan een aanvaller gevoelige gegevens stelen. CVE-2023-42917 laat een aanvaller willekeurige code uitvoeren. Volgens Apple zijn de twee kwetsbaarheden gebruikt voor het aanvallen van iPhones die een iOS-versie voor iOS 16.7.1 draaien.

De twee kwetsbaarheden werden gevonden en gerapporteerd door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. De kwetsbaarheden zijn verholpen in iOS 17.1.2 en iPadOS 17.1.2, alsmede macOS Sonoma 14.1.2 en Safari 17.1.2 voor macOS Monterey en macOS Ventura. Details over de aanvallen zijn niet door Apple gegeven.

Reacties (4)
01-12-2023, 09:10 door Anoniem
Als de zero-Days bijvoorbeeld niet in big-Sur zat maar wel in Mojave dan moet dat in zo’n geval van zero Day ook gewoon worden onthuld! Zero days moeten iigv de wereld uit
01-12-2023, 09:42 door Anoniem
Ik vind het best wel triest dat in een 'moeder-van-alle-api's' webkit nog steeds non-interactie bugs zitten... Anno 2023 kan dat gewoon niet meer... Dan moeten het bijna wel backdoors zijn.
01-12-2023, 12:43 door Anoniem
Door Anoniem: Ik vind het best wel triest dat in een 'moeder-van-alle-api's' webkit nog steeds non-interactie bugs zitten... Anno 2023 kan dat gewoon niet meer... Dan moeten het bijna wel backdoors zijn.

Maar dat moet ook tegenwoordig als maatregelen tegen criminaliteit
01-12-2023, 13:32 door Anoniem
Al die zerodays en zeroclicks, misschien heeft de webkit op zowel Android als IOS een vernieuwing nodig zoals de manier waarop het werkt. (Zoals via een externe webservice, maar dan gaan Google en Apple er mogelijk mee aan de haal)
Heb die software nooit helemaal gesnapt, het was altijd die "app" die je niet kon openen op je apparaat...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.