Apple beschermt oudere iPhones en iPads weken later ook tegen zeroday
Apple heeft weken nadat het nieuwere iPhones en iPads tegen een actief aangevallen zerodaylek beschermde de betreffende beveiligingsupdate ook voor oudere modellen beschikbaar gemaakt. Op 5 maart kwam het techbedrijf met een patch voor een kwetsbaarheid in RTKit (CVE-2024-23296), een real-time operating system.
Via het beveiligingslek kan een aanvaller de kernelgeheugenbescherming van iOS en iPadOS omzeilen. Het is niet mogelijk om alleen via deze kwetsbaarheid een systeem over te nemen. Dit zou gecombineerd moeten worden met een andere kwetsbaarheid of malafide app. De update is nu ook beschikbaar voor iOS en iPadOS 16. Apple geeft geen details over de waargenomen aanvallen. Gebruikers worden opgeroepen om te updaten naar iOS 16.7.8 en iPadOS 16.7.8.
Maar er staat precies het zelfde.
Maar er staat precies het zelfde.
Maar er staat precies het zelfde.
Mijn goede oude SNES heeft tot nu toe nog geen computervirus opgelopen, een fijne read-only gameconsole en read-only games.
Ik heb ook nooit gehoort dat dit ooit gebeurd is.
De kopieerbeveiliging is aan de andere kant wel gekraakt, maar dan via hardware, daar is niks tegen bestand.
Ook zou men de keystrokes van mijn gamepad kunnen afluisteren via de electromagnetische unieke vingerafdruk die iedere knop afgeven, dan ziet men hoe slecht ik ben in gaming...
Deze techniek gebruikt men (in zeldzame gevallen) ook met bedrade toetsenborden.
Maar er staat precies het zelfde.
Supermarkten beloven zo snel mogelijk een update van plakjes ham met salmonella. Mensen die reeds in het ziekenhuis liggen krijgen geen bloemen, en zelfs hun geld niet terug. Maar ze kunnen wel een update van de reeds gegeten plakjes ham krijgen. En dan vindt iedereen het nog geweldig en fantastisch, zo een gebaar van die supermarkt.
Realistisch blijven is leuk, want er zijn verschillende realiteiten. (Ik schrijf zulke dingen natuurlijk met een tongue in cheek. Maar het mag wel es een keertje gezegd worden!)
Er blijft gewoon het zelfde staan.
Feilloze producten bestaan helemaal niet. Dus wel een beetje realistisch blijven hè?
Mijn goede oude SNES heeft tot nu toe nog geen computervirus opgelopen, een fijne read-only gameconsole en read-only games.
Als je de SNES aan het internet zou kunnen hangen, en dus eigenlijk een WII (U) ervan maakt, zul je merken dat er toch ineens foutjes in zaten die misbruikt konden worden.
Als je een iPhone van het internet haalt is er ook niets aan de hand in dit geval.
Ligt dus niet aan de software, maar aan het aanvalsoppervlakte dat je creëert.
Die wasmachinefabrikant komt overigens ook steeds vaker met updates, zelfs met hardware updates. Het wordt pas slecht als ze na ontdekking het verzwijgen (ook wel eens gehad hier: dat monteur al weet wat er is en aangeeft het overal te moeten repareren, maar ze misschien hopen dat je het buiten garantie pas meldt).
Hoewel je gelijk hebt is het vanaf de iPhone 8 en iPad 5e generatie gepatched, dan heb je het over apparaten die in 2017 geïntroduceerd zijn. Ik ben geen Apple fanaat maar na 7 jaar nog steeds dergelijke updates uitbrengen vind ik toch wel netjes
In de nieuwste iOS/iPadOS versie en MacOS/Safari is ook een kwetsbaarheid in WebKit gefixed die gerapporteerd was door Manfred Paul. Dat lijkt dezelfde kwetsbaarheid die op Pwn2Own in maart gebruikt was. Andere browserontwikkelaars hadden hun betreffende kwetsbaarheden in 1 tot 7 dagen opgelost. Apple nu dus pas ruim 7 weken later lijkt het.
@Redactie
Bij weken later denk ik aan 2-4 weken oid, niet ruim 2 maanden. Misschien is het handiger om dit aan te passen naar het precieze aantal weken of "2 maanden later".
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
