image

Apple dicht zerodays, kritiek bluetooth-lek en RCE-kwetsbaarheden in iOS

dinsdag 12 december 2023, 09:59 door Redactie, 8 reacties

Apple heeft beveiligingsupdates voor iOS uitgebracht die meerdere zerodaylekken, een kritiek bluetooth-lek en verschillende kwetsbaarheden die remote code execution (RCE) mogelijk maken verhelpen. Op 30 november kwam Apple al met updates voor twee zerodaylekken in iOS 17 die waren gebruikt voor het aanvallen van iPhones. Elf dagen later zijn de kwetsbaarheden ook in iOS 16 verholpen. Volgens Apple zijn de twee zerodays gebruikt bij het aanvallen van iPhones met een iOS-versie voor iOS 16.7.1.

De twee kwetsbaarheden, aangeduid als CVE-2023-42916 en CVE-2023-42917, bevinden zich in WebKit. Dit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Via CVE-2023-42916 kan een aanvaller gevoelige gegevens stelen. CVE-2023-42917 laat een aanvaller willekeurige code uitvoeren. De twee kwetsbaarheden werden gevonden en gerapporteerd door een onderzoeker van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers.

Voor iOS en iPadOS 17 is daarnaast een bluetooth-kwetsbaarheid verholpen waarmee een aanvaller zich als toetsenbord kan voordoen, om vervolgens willekeurige commando's op het apparaat uit te voeren. Het beveiligingslek (CVE-2023-45866) werd eerder deze maand al door Google in Android gepatcht. Verder zijn er twee kwetsbaarheden in ImageIO en WebKit verholpen die een aanvaller code op het systeem laten uitvoeren als er malafide webcontent of afbeelding wordt verwerkt. Alleen het bezoeken van een gecompromitteerde of malafide website, het te zien krijgen van een besmette advertentie of openen van een malafide afbeelding is voldoende. Verdere interactie is niet vereist.

Verder is het via een kwetsbaarheid in de Find My-functionaliteit, waarmee het mogelijk is om verloren of gestolen iPhones en iPads te vinden, voor malafide apps mogelijk om gevoelige locatiegegevens te achterhalen. Daarnaast zorgt een beveiligingslek in Siri ervoor dat een aanvaller met fysieke toegang tot een iPhone of iPad via de stemassistent gevoelige gebruikersgegevens kan achterhalen. Gebruikers worden opgeroepen om te updaten naar iOS of iPadOS 17.2 of iOS of iPadOS 16.7.3.

Reacties (8)
12-12-2023, 10:25 door Anoniem
Ik heb een aparte SIMkaart waarvan ik het telefoonnummer gebruik voor online aankopen onder andere. Daar gebruik ik altijd mijn 'vorige' telefoon voor. Dat is nu een iPhone 8, die vanaf de laatste update geen iOS 17 kreeg. Prima als de feature updates een keer stoppen, maar waarom moeten vanaf dat moment de veiligheidsupdates steeds 14 dagen later komen? Dit is deze keer geen uitzondering maar beleid, dat deden ze met de iPhone 5 ook al.

Verzonden vanaf mijn nieuwe GrapheneOS toestel. Dag Apple (en dag Google).
12-12-2023, 11:04 door Anoniem
Door Anoniem: Ik heb een aparte SIMkaart waarvan ik het telefoonnummer gebruik voor online aankopen onder andere. Daar gebruik ik altijd mijn 'vorige' telefoon voor. Dat is nu een iPhone 8, die vanaf de laatste update geen iOS 17 kreeg. Prima als de feature updates een keer stoppen, maar waarom moeten vanaf dat moment de veiligheidsupdates steeds 14 dagen later komen? Dit is deze keer geen uitzondering maar beleid, dat deden ze met de iPhone 5 ook al.

Verzonden vanaf mijn nieuwe GrapheneOS toestel. Dag Apple (en dag Google).

Wat wil je nu precies zeggen??
12-12-2023, 11:50 door Anoniem
Door Anoniem: Ik heb een aparte SIMkaart waarvan ik het telefoonnummer gebruik voor online aankopen onder andere. Daar gebruik ik altijd mijn 'vorige' telefoon voor. Dat is nu een iPhone 8, die vanaf de laatste update geen iOS 17 kreeg. Prima als de feature updates een keer stoppen, maar waarom moeten vanaf dat moment de veiligheidsupdates steeds 14 dagen later komen? Dit is deze keer geen uitzondering maar beleid, dat deden ze met de iPhone 5 ook al.

Verzonden vanaf mijn nieuwe GrapheneOS toestel. Dag Apple (en dag Google).

Gezien je technische aanleg mag ik toch hopen dat je best begrijpt waarom ze niet allemaal tegelijk worden uitgebracht? Niet iedere update is universeel en moet nou eenmaal getest worden.
12-12-2023, 14:08 door Anoniem
Door Anoniem: Ik heb een aparte SIMkaart waarvan ik het telefoonnummer gebruik voor online aankopen onder andere. Daar gebruik ik altijd mijn 'vorige' telefoon voor. Dat is nu een iPhone 8, die vanaf de laatste update geen iOS 17 kreeg. Prima als de feature updates een keer stoppen, maar waarom moeten vanaf dat moment de veiligheidsupdates steeds 14 dagen later komen? Dit is deze keer geen uitzondering maar beleid, dat deden ze met de iPhone 5 ook al.

Verzonden vanaf mijn nieuwe GrapheneOS toestel. Dag Apple (en dag Google).

En jij denkt met een of ander obscuur hobby project van iemand dat je veiliger ben dan op een gemiddelde iOS of Android apparaat. Zal ik je wat vertellen die gouden pot aan het einde van de regenboog bestaat echt.
12-12-2023, 14:19 door Anoniem
Door Anoniem: Ik heb een aparte SIMkaart waarvan ik het telefoonnummer gebruik voor online aankopen onder andere. Daar gebruik ik altijd mijn 'vorige' telefoon voor. Dat is nu een iPhone 8, die vanaf de laatste update geen iOS 17 kreeg. Prima als de feature updates een keer stoppen, maar waarom moeten vanaf dat moment de veiligheidsupdates steeds 14 dagen later komen? Dit is deze keer geen uitzondering maar beleid, dat deden ze met de iPhone 5 ook al.

Verzonden vanaf mijn nieuwe GrapheneOS toestel. Dag Apple (en dag Google).

Het gebruik van GrapheneOS is een uitstekende keuze qua veiligheid en gebruikersgemak! Zie ook: https://www.youtube.com/watch?v=yTeAFoQnQPo
Neem ook eens een kijkje op https://f-droid.org/ voor transparante vrije en open source apps. (FOSS)
12-12-2023, 18:16 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb een aparte SIMkaart waarvan ik het telefoonnummer gebruik voor online aankopen onder andere. Daar gebruik ik altijd mijn 'vorige' telefoon voor. Dat is nu een iPhone 8, die vanaf de laatste update geen iOS 17 kreeg. Prima als de feature updates een keer stoppen, maar waarom moeten vanaf dat moment de veiligheidsupdates steeds 14 dagen later komen? Dit is deze keer geen uitzondering maar beleid, dat deden ze met de iPhone 5 ook al.

Verzonden vanaf mijn nieuwe GrapheneOS toestel. Dag Apple (en dag Google).

En jij denkt met een of ander obscuur hobby project van iemand dat je veiliger ben dan op een gemiddelde iOS of Android apparaat. Zal ik je wat vertellen die gouden pot aan het einde van de regenboog bestaat echt.

Ik wil niet voor een ander spreken, maar een obscuur projectje?
https://en.m.wikipedia.org/wiki/GrapheneOS
Ik neem aan dat de drie eervoorgaande berichten ook van u waren?
https://www.phonearena.com/news/what-does-cia-whistleblower-use-edward-snowden-graphene-os_id137050
Ik weet niet waar u uw bronnen en basis vandaan heeft?
Zelfs Edward Snowden gebruikt het, dat heeft hij zelf op Twitter gezegd.
Daarnaast is het een groot project.
Het is volledig transparant in tegenstelling tot alles dat Apple doet, dat is een grote zwarte doos...
GraoheneOS is op AOSP gebaseerd, dus geen proprietaire code, volledig inspecterbaar en transparant voor het publiek, en peer reviewed security audited.
GrapheneOS is simpelweg de allerbeste keuze qua beveiliging.
Hier is een vergelijking tussen iPhones en GrapheneOS:
https://www.youtube.com/watch?v=nQ9LR8homt4
13-12-2023, 08:58 door Anoniem
Door Anoniem:
Ik wil niet voor een ander spreken, maar een obscuur projectje?
https://en.m.wikipedia.org/wiki/GrapheneOS
Heeft maar een team van 16 personen:
https://github.com/orgs/GrapheneOS/people
13-12-2023, 16:01 door Anoniem
Door Anoniem:
Door Anoniem:
Ik wil niet voor een ander spreken, maar een obscuur projectje?
https://en.m.wikipedia.org/wiki/GrapheneOS
Heeft maar een team van 16 personen:
https://github.com/orgs/GrapheneOS/people

Dan is het een klein team van een niet-obscuur projectje. (-;
Het is gewoon open source, en dus transparant en er zijn miljoenen mensen die het gebruiken.
Er is geen team van 1000+ mensen nodig.
Bij Aplle werken een heleboel mensen maar ze halen de meest obscure streken uit zoals bij de protesten in Hong Kong, de hoeveelheid werknemers zegt niks over de betrouwbaarheid van een project.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.