De nieuwste verzameling beveiligingsupdates van Apple is gearriveerd, inclusief de zojuist gelanceerde macOS 13 Avontuur, die vergezeld ging van zijn eigen beveiligingsbulletin met maar liefst 112 CVE-genummerde beveiligingsgaten.
Daarvan telden we 27 gaten in de uitvoering van willekeurige code, waarvan er 12 het mogelijk maken om frauduleuze code rechtstreeks in de kernel zelf te injecteren, en één staat toe dat niet-vertrouwde code wordt uitgevoerd met systeemrechten.
Bovendien worden er twee EoP-bugs (elevation-of-privilege) voor Ventura vermeld waarvan we aannemen dat ze kunnen worden gebruikt in combinatie met enkele, veel of alle overige 14 niet-systeemcode-uitvoeringsbugs om een aanvalsketen te vormen die verandert een exploit op gebruikersniveau van code-uitvoering in een exploit op systeemniveau.
iPhone en iPad met reëel risico
Dat is echter niet het meest kritische deel van dit verhaal.
De prijs "duidelijk en aanwezig gevaar" gaat naar: iOS en iPadOS, welke bijgewerkt worden naar versie 16.1 en 16 respectievelijk, waarbij een van de vermelde beveiligingsproblemen de uitvoering van kernelcode vanuit elke app toestaat en al actief wordt uitgebuit.
Kortom, iPhones en iPads moeten meteen worden gepatcht vanwege een kernel nul-dag.
Apple heeft niet gezegd welke cybercriminaliteitsgroep of welk spywarebedrijf deze bug misbruikt, genaamd CVE-2022-42827, maar gezien de hoge prijs die een werkende iPhone met zero-days in de cyberonderwereld beveelt, gaan we ervan uit dat degene die in het bezit is van deze exploit [a] weet hoe hij het effectief kan laten werken en [b] er zelf waarschijnlijk niet de aandacht op zal vestigen , om bestaande slachtoffers zoveel mogelijk in het ongewisse te laten.
Apple heeft zijn gebruikelijke standaardopmerking naar voren gebracht met de strekking dat het bedrijf "is op de hoogte van een melding dat dit probleem mogelijk actief is misbruikt", en dat is alles.
Als gevolg hiervan kunnen we u geen advies geven over hoe u op uw eigen apparaat op tekenen van aanval kunt controleren - we zijn niet op de hoogte van zogenaamde IoC's (indicatoren van een compromis), zoals vreemde bestanden in uw back-up, onverwachte configuratiewijzigingen of ongebruikelijke vermeldingen in logbestanden waarnaar u mogelijk kunt zoeken.
Onze enige aanbeveling is daarom onze gebruikelijke aansporing om vroeg te patchen/vaak te patchen, door naar: Instellingen > Algemeen > software bijwerken en kiezen Download en installeer als je de fixes nog niet hebt ontvangen.
Waarom wachten tot uw apparaat de updates zelf vindt en voorstelt, als u naar de kop van de wachtrij kunt springen en ze meteen kunt ophalen?
Catalina is gevallen?
Zoals je misschien hebt aangenomen, verschijnt macOS 13 Catalina, drie versies geleden, deze keer niet in de lijst, aangezien de release van Ventura macOS naar versie 10 brengt.
Apple biedt doorgaans alleen beveiligingsupdates voor de vorige en vorige versies van macOS, en dat is hoe de patches zich hier afspeelden, met patches om te nemen macOS 11 Big Sur naar versie 11.7.1 en macOS 12 Monterey naar versie 12.6.1.
Die versies krijgen echter ook een aparte update Vermeld als Safari 16.1, die verschillende gevaarlijk klinkende bugs in Safari en de onderliggende softwarebibliotheek WebKit verhelpt.
Onthoud dat WebKit niet alleen door Safari wordt gebruikt, maar ook door andere apps die afhankelijk zijn van de onderliggende code van Apple om elk soort HTML-gebaseerde inhoud weer te geven, inclusief helpsystemen, Over-schermen en ingebouwde "minibrowsers", die vaak worden gezien in berichten apps die een optie bieden om HTML-bestanden, pagina's of berichten te bekijken.
Apple HORLOGE en tvOS krijgen ook tal van fixes en hun versienummers worden bijgewerkt naar Kijk 9.1 en tvOS 16.1 respectievelijk.
Wat te doen?
Het goede nieuws is dat alleen early adopters en softwareontwikkelaars Ventura waarschijnlijk al gebruiken, als onderdeel van het bèta-ecosysteem van Apple.
Die gebruikers moeten zo snel mogelijk updaten, zonder te wachten op een systeemherinnering of op automatisch bijwerken, gezien het enorme aantal opgeloste bugs.
Als je Ventura niet gebruikt maar van plan bent om meteen te upgraden, zal je eerste ervaring met de nieuwe versie automatisch de 112 CVE-patches bevatten die hierboven zijn genoemd, dus de versie upgrade zal automatisch de benodigde beveiliging bevatten updates.
Als je van plan bent om nog een tijdje bij de vorige of vorige macOS-versie te blijven (of als je, zoals wij, een oudere Mac hebt die niet kan worden geüpgraded), vergeet dan niet dat je twee updates nodig hebt: een specifiek voor Big Sur of Monterey, en de andere een update voor Safari die hetzelfde is voor beide smaken van het besturingssysteem.
Samenvatten:
- Op iOS of iPad OS, dringend gebruiken Instellingen > Algemeen > software bijwerken
- Op macOS, . Apple-menu > Over deze Mac > Software-update…
- macOS 13 Ventura Bèta gebruikers moeten onmiddellijk updaten naar de volledige release.
- Gebruikers van Big Sur en Monterey die upgraden naar Ventura krijgen tegelijkertijd de macOS 13-beveiligingsoplossingen.
- macOS 11 Big Sur gaat naar 11.7.1, en behoeften Safari 16.1 .
- macOS 12 Monterey gaat naar 12.6.1, en behoeften Safari 16.1 .
- HORLOGE gaat naar 9.1.
- tvOS gaat naar 16.1.
Merk op dat macOS 10 Catalina geen updates krijgt, maar we gaan ervan uit dat dit het einde is van de weg voor Catalina-gebruikers, niet omdat het nog steeds wordt ondersteund, maar immuun was voor alle bugs die in latere versies werden gevonden.
Als we gelijk hebben, zitten Catalina-gebruikers die hun Mac niet kunnen upgraden voor altijd met steeds meer verouderde Apple-software, of overschakelen naar een alternatief besturingssysteem zoals een Linux-distro die nog steeds wordt ondersteund op hun apparaat.
Snelle links naar de beveiligingsbulletins van Apple:
- APPEL-SA-2022-10-24-1: HT213489 voor iOS 16.1 en iPadOS 16
- APPEL-SA-2022-10-24-2: HT213488 voor macOS Ventura 13 "
- APPEL-SA-2022-10-24-3: HT213494 voor macOS Monterey 12.6.1
- APPEL-SA-2022-10-24-4: HT213493 voor macOS Big Sur 11.7.1
- APPEL-SA-2022-10-24-5: HT213491 voor watchOS 9.1
- APPEL-SA-2022-10-24-6: HT213492 voor tvOS 16.1
- APPEL-SA-2022-10-24-7: HT213495 voor Safari 16.1
- 0 dag
- Apple
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- CVE-2022-42827
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- Exploiteren
- firewall
- iOS
- iPad
- iPhone
- Kaspersky
- Mac
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- OS X
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- kwetsbaarheid
- website veiligheid
- zephyrnet
- zer-dag
