Apple heeft zijn nieuwste patches verwijderd en meer dan 50 CVE-genummerde beveiligingsproblemen in zijn reeks ondersteunde producten verholpen.
De relevante beveiligingsbulletins, updatenummers en waar u ze online kunt vinden, zijn als volgt:
- APPEL-SA-2022-07-20-1: iOS 15.6 en iPadOS 15.6, details bij HT213346
- APPEL-SA-2022-07-20-2: macOS Monterey 12.5, details bij HT213345
- APPEL-SA-2022-07-20-3: macOS Big Sur 11.6.8, details bij HT213344
- APPEL-SA-2022-07-20-4: Beveiligingsupdate 2022-005 Catalina, details bij HT213343
- APPEL-SA-2022-07-20-5: tvOS 15.6, details bij HT213342
- APPEL-SA-2022-07-20-6: watchOS 8.7, details bij HT213340
- APPEL-SA-2022-07-20-7: Safari 15.6 details bij HT213341
Zoals gebruikelijk bij Apple, zijn de Safari-browserpatches gebundeld in de updates voor de nieuwste macOS (Monterey), evenals in de updates voor iOS en iPad OS.
Maar de updates voor de oudere versies van macOS bevatten geen Safari, dus de zelfstandige Safari-update (zie HT213341 hierboven) is daarom van toepassing op gebruikers van eerdere macOS-versies (zowel Big Sur als Catalina worden nog steeds officieel ondersteund), die twee updates moeten downloaden en installeren, niet slechts één.
Een ere-zero-day
Trouwens, als je een Mac hebt met een eerdere versie van macOS, vergeet die tweede download voor Safari niet, omdat het van vitaal belang is, tenminste voor zover we kunnen zien.
Dat komt omdat een van de browsergerelateerde patches in deze updateronde een kwetsbaarheid in WebRTC behandelt (web realtime communicatie) bekend als CVE-2022-2294...
...en als dat nummer bekend klinkt, zou dat ook moeten, want het is dezelfde bug die was vast als een nul-dag door Google in Chrome (en door Microsoft in Edge) ongeveer twee weken geleden:
Intrigerend genoeg heeft Apple geen van de kwetsbaarheden van deze maand als "in het wild gemeld" of als "zero-day bugs" verklaard, ondanks de bovengenoemde patch die door Google een zero-day hole werd genoemd.
Of dat nu komt omdat de bug niet zo gemakkelijk te misbruiken is in Safari, of simpelweg omdat niemand enig Safari-specifiek wangedrag naar deze specifieke fout heeft herleid, we kunnen het je niet vertellen, maar we behandelen het als een "ere zero-day”-kwetsbaarheid, met als resultaat ijverig patchen.
Pwn2Eigen gat gesloten
Apple heeft blijkbaar ook de bug opgelost die door de Duitse cybersecurity-onderzoeker Manfred Paul werd gevonden tijdens de recente Pwn2Own-competitie in Canada, in mei 2022.
Laatste podcast 🎧 Luister nu! Firefox & Pwn2Own, Apple en een 0-dag... en de wiskunde die Pythagoras versloeg.https://t.co/HDrZPQzlAQ pic.twitter.com/DxgdC8VM1j
— Naakte beveiliging (@NakedSecurity) 20 mei 2022
Manfred Paul exploiteerde Firefox met een bug in twee fasen die hem $100,000 ($50,000 voor elk onderdeel) opleverde, en stapte ook in Safari, voor nog eens $50,000 premie.
Mozilla heeft inderdaad zijn oplossing voor Paul's bugs gepubliceerd binnen twee dagen van het ontvangen van zijn rapport bij Pwn2Own:
Apple heeft daarentegen twee maanden nodig gehad om zijn post-Pwn2Own-patch te leveren:
WebKit
Impact: Het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: Een out-of-bounds-schrijfprobleem is verholpen door een verbeterde invoervalidatie.
CVE-2022-32792: Manfred Paul (@_manfp) werkt samen met Trend Micro Zero Day Initiative [Pwn2Own]
Onthoud echter dat verantwoorde openbaarmaking deel uitmaakt van de Pwn2Own-competitie, wat betekent dat iedereen die een prijs claimt, niet alleen verplicht is om de volledige details van hun exploit aan de getroffen leverancier te overhandigen, maar ook om te zwijgen over de kwetsbaarheid totdat de patch uit is .
Met andere woorden, hoe lovenswaardig en opwindend Mozilla's tweedaagse leveringstijd voor patches ook mag zijn geweest, de veel tragere reactie van Apple is niettemin acceptabel.
De live videostreams die je misschien hebt gezien van Pwn2Own, dienden om aan te geven of de aanval van elke concurrent was geslaagd, in plaats van om informatie te onthullen over hoe de aanval daadwerkelijk werkte. De videoschermen die door de deelnemers werden gebruikt, stonden met hun rug naar de camera, zodat je de gezichten van de deelnemers en juryleden kon zien, maar niet wat ze aan het typen waren of waar ze naar keken.
Aanvallen in meerdere fasen
Zoals gewoonlijk bevatten de talrijke bugs die door Apple in deze updates zijn gepatcht kwetsbaarheden die in theorie door vastberaden aanvallers aan elkaar kunnen worden geketend.
Een bug vermeld met de voorwaarde dat: "een app met rootrechten kan mogelijk willekeurige code uitvoeren met kernelrechten" klinkt in eerste instantie niet erg zorgwekkend.
Immers, als een aanvaller al root-krachten heeft, hebben ze toch vrijwel de controle over je computer.
Maar wanneer u ergens anders in het systeem een bug opmerkt die wordt vermeld met de waarschuwing dat: "een app kan mogelijk rootrechten krijgen", kunt u zien hoe de laatste kwetsbaarheid een gemakkelijke en ongeautoriseerde opstap naar de eerste kan zijn.
En wanneer u ook een bug in het weergeven van afbeeldingen opmerkt die wordt beschreven als "het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code", zie je snel dat:
- Een webpagina met boobytraps kan een afbeelding bevatten die: lanceert niet-vertrouwde code.
- Die niet-vertrouwde code kan... een app met weinig bevoegdheden implanteren.
- De ongewenste app kan wortelkrachten voor zichzelf verwerven.
- De nu-root-app kan zijn eigen frauduleuze code in de kernel injecteren.
Met andere woorden, in theorie althans, alleen al kijkend naar een ogenschijnlijk onschuldige website...
... je in een waterval van problemen kan laten tuimelen, net zoals het beroemde gezegde dat luidt: “Bij gebrek aan een spijker was de schoen verloren; bij gebrek aan een schoen was het paard verloren; bij gebrek aan een paard ging de boodschap verloren; bij gebrek aan een bericht, was de strijd verloren... allemaal bij gebrek aan een hoefijzernagel.'
Wat te doen?
Daarom raden we je, zoals altijd, aan om vroeg te patchen; patch vaak; alles patchen.
Het is de verdienste van Apple dat alles standaard wordt gepatcht: je kunt niet kiezen welke patches je wilt implementeren en welke je 'voor later' wilt laten.
De enige uitzondering op deze regel, zoals we hierboven hebben opgemerkt, is dat u voor macOS Big Sur en macOS Catalina het grootste deel van de updates van het besturingssysteem in één gigantische download ontvangt, gevolgd door een afzonderlijk download- en updateproces om de nieuwste versie van Safari.
Zoals gewoonlijk:
- Op je iPhone of iPad: Instellingen > Algemeen > software bijwerken
- Op je Mac: Apple-menu > Over deze Mac > Software-update…
- Apple
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- iPad
- iPhone
- Kaspersky
- Mac
- macos
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- kwetsbaarheid
- website veiligheid
- zephyrnet
![S3 aflevering 110: Cyberdreigingen in de schijnwerpers – een expert spreekt [Audio + Tekst] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/11/tr-readnow-640-360x169.png "S3 Ep110: Schijnwerpers op cyberdreigingen – een expert aan het woord [Audio + tekst]")
![S3 Aflevering 116: Laatste druppel voor LastPass? Is crypto gedoemd? [Audio + tekst]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep116-last-straw-for-lastpass-is-crypto-doomed-audio-text-360x220.jpg "S3 Aflevering 116: Laatste druppel voor LastPass? Is crypto gedoemd? [Audio + tekst]")
![S3 aflevering 111: Het bedrijfsrisico van een smerige “naaktheids-unfilter” [Audio + Tekst] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: Het zakelijke risico van een slordige \"nudity unfilter\" [Audio + tekst]")
