Apple heeft zojuist een noodupdate uitgebracht voor twee zero-day bugs die blijkbaar actief worden uitgebuit.
Er is een remote code execution hole (RCE) genaamd CVE-20220-32893 in Apple's HTML-renderingsoftware (WebKit), waarmee een webpagina met boobytraps iPhones, iPads en Macs kan misleiden om ongeautoriseerde en niet-vertrouwde softwarecode te gebruiken.
Simpel gezegd, een cybercrimineel kan malware op uw apparaat implanteren, zelfs als u alleen maar een verder onschuldige webpagina bekijkt.
Onthoud dat WebKit het onderdeel is van Apple's browser-engine dat onder absoluut alle webrenderingsoftware op Apple's mobiele apparaten zit.
Macs kunnen versies van Chrome, Chromium, Edge, Firefox en andere "niet-Safari"-browsers uitvoeren met alternatieve HTML- en JavaScript-engines (Chromium gebruikt bijvoorbeeld Blink en V8; Firefox is gebaseerd op Gekko en Neushoorn).
Maar op iOS en iPadOS eisen Apple's App Store-regels dat alle software die enige vorm van webbrowsing-functionaliteit biedt moet gebaseerd zijn op WebKit, inclusief browsers zoals Chrome, Firefox en Edge die niet afhankelijk zijn van de browsercode van Apple op andere platformen waar u ze zou kunnen gebruiken.
Bovendien kunnen alle Mac- en iDevice-apps met pop-upvensters zoals: Help or Over schermen gebruiken HTML als hun "weergavetaal" - een programmatisch gemak dat begrijpelijkerwijs populair is bij ontwikkelaars.
Apps die dit doen, gebruiken vrijwel zeker die van Apple WebView systeemfuncties en WebView is gebaseerd direct bovenop WebKit, dus het wordt daarom beรฏnvloed door eventuele kwetsbaarheden in WebKit.
De CVE-2022-32893 kwetsbaarheid treft daarom mogelijk veel meer apps en systeemcomponenten dan alleen Apple's eigen Safari-browser, dus het simpelweg vermijden van Safari kan niet als een tijdelijke oplossing worden beschouwd, zelfs niet op Macs waar niet-WebKit-browsers zijn toegestaan.
Dan is er een tweede nul-dag
Er is ook een uitvoeringsgat voor de kernelcode genoemd CVE-2022-32894, waarbij een aanvaller die al basis voet aan de grond heeft gekregen op uw Apple-apparaat door de bovengenoemde WebKit-bug uit te buiten...
... zou kunnen overstappen van het besturen van slechts een enkele app op je apparaat naar het overnemen van de kernel van het besturingssysteem zelf, en zo het soort "administratieve superkrachten" verwerven die normaal voor Apple zelf zijn gereserveerd.
Dit betekent vrijwel zeker dat de aanvaller:
- Bespioneer alle apps die momenteel actief zijn
- Download en start extra apps zonder door de App Store te gaan
- Toegang tot bijna alle gegevens op het apparaat
- Systeembeveiligingsinstellingen wijzigen
- Uw locatie ophalen
- Maak screenshots
- Gebruik de camera's in het apparaat
- Activeer de microfoon
- Tekstberichten kopiรซren
- Volg uw browsenโฆ
โฆen nog veel meer.
Apple heeft niet gezegd hoe deze bugs zijn gevonden (behalve om te crediteren) "een anonieme onderzoeker"), heeft niet gezegd waar ter wereld ze zijn uitgebuit, en heeft niet gezegd wie ze gebruikt of voor welk doel.
Losjes gesproken biedt een werkende WebKit RCE gevolgd door een werkende kernel-exploit, zoals hier te zien, doorgaans alle functionaliteit die nodig is om mount een apparaat jailbreak (daarom opzettelijk bijna alle door Apple opgelegde beveiligingsbeperkingen omzeilen), of om spyware op de achtergrond installeren en u onder uitgebreid toezicht houden.
Wat te doen?
In รฉรฉn keer patchen!
Op het moment van schrijven heeft Apple adviezen gepubliceerd voor: iPad OS 15 en iOS 15, die beide bijgewerkte versienummers krijgen van 15.6.1En voor macOS Monterey 12", die een bijgewerkt versienummer krijgt van 12.5.2.
- Op je iPhone of iPad: Instellingen > Algemeen > software bijwerken
- Op je Mac: Apple-menu > Over deze Mac > Software-updateโฆ
Er is ook een update die duurt HORLOGE naar versie 8.7.1, maar die update vermeldt geen CVE-nummers en heeft geen eigen beveiligingsadvies.
Het is niet bekend of de oudere ondersteunde versies van macOS (Big Sur en Catalina) worden beรฏnvloed, maar dat er nog geen updates beschikbaar zijn, of dat tvOS kwetsbaar is maar nog niet is gepatcht.
Bekijk deze ruimte voor meer informatie en houd de officiรซle Apple-portaalpagina over het beveiligingsbulletin in de gaten, HT201222.
- Apple
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- CVE-2022-32893
- CVE-2022-32894
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- iOS
- iPadOS
- jailbreak
- Kaspersky
- macos
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- OS X
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- spyware
- VPN
- kwetsbaarheid
- website veiligheid
- zephyrnet
![S3 aflevering 111: Het bedrijfsrisico van een smerige โnaaktheids-unfilterโ [Audio + Tekst] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep111: Het zakelijke risico van een slordige \"nudity unfilter\" [Audio + tekst]")
