Apple waarschuwt voor actief misbruikte kwetsbaarheden in macOS
Apple waarschuwt gebruikers van macOS voor twee actief misbruikte kwetsbaarheden waardoor een aanvaller willekeurige code op het systeem kan uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website, het te zien krijgen van een besmette advertentie of een andere manier waarop webcontent wordt verwerkt is voldoende. Er is geen verdere interactie van gebruikers vereist.
Beide beveiligingslekken werden gevonden door onderzoekers van Googles Threat Analysis Group. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. De gevaarlijkste van de twee kwetsbaarheden (CVE-2024-44308) bevindt zich in JavaScriptCore. Dit is de JavaScript-engine waarvan Safari, Apple Mail, de App Store en veel andere apps op macOS gebruik van maken.
JavaScriptCore maakt het mogelijk om JavaScript uit te voeren. Bij het verwerken van malafide webcontent zorgt de kwetsbaarheid ervoor dat een aanvaller willekeurige code op het systeem kan uitvoeren. Apple zegt dat het bekend is met misbruik van dit beveiligingslek op Intel-gebaseerde Macs. Verdere details over de kwetsbaarheid en aanvallen zijn niet gegeven.
De tweede aangevallen kwetsbaarheid (CVE-2024-44309) bevindt zich in WebKit, de door Apple ontwikkelde browser-engine. Het verwerken van malafide webcontent maakt een cross-site scripting-aanval mogelijk, waardoor een aanvaller bijvoorbeeld cookies van de gebruiker kan stelen om zo toegang tot accounts te krijgen. Ook dit beveiligingslek is tegen Intel-gebaseerde Macs ingezet, aldus Apple. Verdere details zijn niet gegeven, behalve dat het om een 'cookie management issue' ging dat nu is verholpen.
Voor macOS is macOS Sequoia 15.1.1 verschenen waarin de beveiligingslekken zijn gepatcht. De twee kwetsbaarheden zijn ook in Safari 18.1.1 voor macOS Ventura en macOS Sonoma verholpen, alsmede in iOS en iPadOS 17.7.2 en 18.1.1 en visionOS 2.1.1.
En dit is niet de eerste keer.
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Shortened into contemporary jargon, that means “drive-by, web-based zero-day RCE exploit.
*Drive-by attacks*
Drive-by means that just visiting a website and viewing it is enough to trigger the bug, so you only need to be lured onto a booby-trapped site to take a look.
The crooks don’t need to lure you in and then also convince you to download and run a file, or to install a browser plugin, or to enter loads of personal data into an online form you didn’t expect.
Web-based means that the attack can happen right inside your browser, despite all the sandboxing and other protection that is supposed to keep browsing safe.
https://news.sophos.com/en-us/2021/05/04/apple-products-hit-by-fourfecta-of-zero-day-exploits-patch-now/
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Shortened into contemporary jargon, that means “drive-by, web-based zero-day RCE exploit.
*Drive-by attacks*
Drive-by means that just visiting a website and viewing it is enough to trigger the bug, so you only need to be lured onto a booby-trapped site to take a look.
The crooks don’t need to lure you in and then also convince you to download and run a file, or to install a browser plugin, or to enter loads of personal data into an online form you didn’t expect.
Web-based means that the attack can happen right inside your browser, despite all the sandboxing and other protection that is supposed to keep browsing safe.
https://news.sophos.com/en-us/2021/05/04/apple-products-hit-by-fourfecta-of-zero-day-exploits-patch-now/
Let wel ik ben geen lid van de fanclub maar probeer wel te achterhalen of de informatie klopt.
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Shortened into contemporary jargon, that means “drive-by, web-based zero-day RCE exploit.
*Drive-by attacks*
Drive-by means that just visiting a website and viewing it is enough to trigger the bug, so you only need to be lured onto a booby-trapped site to take a look.
The crooks don’t need to lure you in and then also convince you to download and run a file, or to install a browser plugin, or to enter loads of personal data into an online form you didn’t expect.
Web-based means that the attack can happen right inside your browser, despite all the sandboxing and other protection that is supposed to keep browsing safe.
https://news.sophos.com/en-us/2021/05/04/apple-products-hit-by-fourfecta-of-zero-day-exploits-patch-now/
Let wel ik ben geen lid van de fanclub maar probeer wel te achterhalen of de informatie klopt.
Ook de omschrijving van Apple is precies hetzelfde als 3 jaar geleden.
En dit is niet de eerste keer.
Net zo veilig als Windows en Linux, ook daar worden kwetsbaarheden gevonden
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
