Apple dringt er bij macOS-, iPhone- en iPad-gebruikers op aan om deze week de respectievelijke updates te installeren die fixes bevatten voor twee zero-days die actief worden aangevallen. De patches zijn voor kwetsbaarheden waarmee aanvallers willekeurige code kunnen uitvoeren en uiteindelijk apparaten kunnen overnemen.
Er zijn patches beschikbaar voor geactiveerde apparaten iOS 15.6.1 en macOS Monterey 12.5.1". Patches verhelpen twee tekortkomingen, die in feite van invloed zijn op elk Apple-apparaat dat iOS 15 of de Monterey-versie van zijn desktop-besturingssysteem kan gebruiken, volgens beveiligingsupdates die woensdag door Apple zijn uitgebracht.
Een van de fouten is een kernelbug (CVE-2022-32894), die zowel in iOS als macOS aanwezig is. Volgens Apple is het een "out-of-bounds-schrijfprobleem [dat] is verholpen met verbeterde grenscontrole."
De kwetsbaarheid stelt een applicatie in staat om willekeurige code uit te voeren met kernelprivileges, volgens Apple, die, op de gebruikelijke vage manier, zei dat er een rapport is dat het "mogelijk actief is misbruikt".
De tweede fout wordt geรฏdentificeerd als een WebKit-bug (bijgehouden als CVE-2022-32893), een schrijfprobleem buiten de grenzen dat Apple heeft verholpen met verbeterde grenscontrole. De fout maakt het mogelijk om kwaadwillig vervaardigde webinhoud te verwerken die kan leiden tot het uitvoeren van code, en er is ook gemeld dat deze actief wordt misbruikt, aldus Apple. WebKit is de browser-engine die Safari en alle andere browsers van derden die op iOS werken mogelijk maakt.
Pegasus-achtig scenario
De ontdekking van beide gebreken, waarover weinig meer bekend is dan Apple's onthulling, werd toegeschreven aan een anonieme onderzoeker.
Een expert uitte zijn bezorgdheid dat de nieuwste Apple-fouten "aanvallers in feite volledige toegang tot het apparaat zouden kunnen geven", ze zouden een Pegasus-achtig scenario vergelijkbaar met het scenario waarin nationale APT's doelen bestormden met spyware gemaakt door de Israรซlische NSO Group door misbruik te maken van een iPhone-kwetsbaarheid.
"Voor de meeste mensen: update de software aan het einde van de dag", tweeted Rachel Tobac, de CEO van SocialProof Security, over de zero-days. "Als het dreigingsmodel wordt verhoogd (journalist, activist, doelwit van natiestaten, enz.): update nu", waarschuwde Tobac.
Nuldagen in overvloed
De gebreken werden deze week samen met ander nieuws van Google onthuld dat het was aan het patchen zijn vijfde zero-day tot nu toe dit jaar voor zijn Chrome-browser, een bug voor het uitvoeren van willekeurige code die actief wordt aangevallen.
Het nieuws over nog meer kwetsbaarheden van toptechnologieleveranciers die worden belaagd door bedreigingsactoren, toont aan dat ondanks de inspanningen van toptechnologiebedrijven om eeuwige beveiligingsproblemen in hun software aan te pakken, het een zware strijd blijft, merkte Andrew Whaley, senior technisch directeur bij Promon, een Noors app-beveiligingsbedrijf.
De tekortkomingen in iOS zijn vooral zorgwekkend, gezien de alomtegenwoordigheid van iPhones en de totale afhankelijkheid van gebruikers van mobiele apparaten voor hun dagelijks leven, zei hij. Het is echter niet alleen de verantwoordelijkheid van leveranciers om deze apparaten te beschermen, maar ook voor gebruikers om zich meer bewust te zijn van bestaande bedreigingen, merkte Whaley op.
"Hoewel we allemaal vertrouwen op onze mobiele apparaten, zijn ze niet onkwetsbaar, en als gebruikers moeten we op onze hoede blijven, net zoals we doen op desktopbesturingssystemen", zei hij in een e-mail aan Threatpost.
Tegelijkertijd zouden ontwikkelaars van apps voor iPhones en andere mobiele apparaten ook een extra laag beveiligingscontroles in hun technologie moeten toevoegen, zodat ze minder afhankelijk zijn van OS-beveiliging voor bescherming, gezien de fouten die vaak opduiken, merkte Whaley op.
"Onze ervaring leert dat dit niet genoeg gebeurt, waardoor banken en andere klanten mogelijk kwetsbaar worden", zei hij.
- Apple iPhone
- Apple-kwetsbaarheden
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- hacks
- Kaspersky
- malware
- Mcafee
- Mobile Security
- nieuws
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- Threat Post
- VPN
- kwetsbaarheden
- website veiligheid
- zephyrnet
