Apple heeft beveiligingsupdates uitgebracht om oude iPhones en iPads tegen actief aangevallen kwetsbaarheden te beschermen. Onlangs werd bekend dat aanvallers de beveiligingslekken, waarvoor Apple al in 2023 en 2024 met updates kwam, op grote schaal misbruiken. Alleen het bezoeken van een gehackte of malafide website met een kwetsbare iPhone is voldoende om te worden besmet met malware, er is geen verdere interactie van gebruikers nodig.
Het gaat in totaal om vier kwetsbaarheden, aangeduid als CVE-2023-41974, CVE-2024-23222, CVE-2023-43000 en CVE-2023-43010. Drie van de problemen bevinden zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Het verwerken van malafide webcontent zorgt ervoor dat een aanvaller via deze lekken willekeurige code op de iPhone of iPad kan uitvoeren.
De vierde kwetsbaarheid bevindt zich in de kernel van iOS en iPadOS en zorgt ervoor dat een app willekeurige code met kernelrechten kan uitvoeren. Apple verhielp de beveiligingslekken met iOS 16.6, 17, 17.2 en 17.3 die eind 2023 en begin 2024 verschenen. Oudere iPhones en iPads kunnen niet naar deze versies updaten. Onlangs waarschuwde Google dat een exploitkit van een spywareleverancier in handen van een spionagegroep en een groep financieel gemotiveerde criminelen was gekomen. Spywareleveranciers leveren voornamelijk aan overheidsinstanties en het is onbekend hoe de exploitkit gelekt is.
De groep criminelen maakt volgens Google op grote schaal misbruik van de kwetsbaarheden om iPhones met malware te infecteren en zo crypto-gerelateerde data en andere financiële informatie te stelen. Om oudere iPhones en iPads te beschermen heeft Apple iOS en iPadOS 15.8.7 voor iPhone 6s, iPhone 7, iPhone SE
(1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie) uitgebracht. Eigenaren van een iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e generatie, iPad Pro 9.7-inch en iPad Pro 12.9-inch 1e generatie kunnen updaten naar iOS en iPadOS 16.7.15.
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Bron: Security.nl
Apple heeft beveiligingsupdates uitgebracht om oude iPhones en iPads tegen actief aangevallen kwetsbaarheden te beschermen. Onlangs werd bekend dat aanvallers de beveiligingslekken, waarvoor Apple al in 2023 en 2024 met updates kwam, op grote schaal misbruiken. Alleen het bezoeken van een gehackte of malafide website met een kwetsbare iPhone is voldoende om te worden besmet met malware, er is geen verdere interactie van gebruikers nodig.
Het gaat in totaal om vier kwetsbaarheden, aangeduid als CVE-2023-41974, CVE-2024-23222, CVE-2023-43000 en CVE-2023-43010. Drie van de problemen bevinden zich in WebKit, de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken. Het verwerken van malafide webcontent zorgt ervoor dat een aanvaller via deze lekken willekeurige code op de iPhone of iPad kan uitvoeren.
De vierde kwetsbaarheid bevindt zich in de kernel van iOS en iPadOS en zorgt ervoor dat een app willekeurige code met kernelrechten kan uitvoeren. Apple verhielp de beveiligingslekken met iOS 16.6, 17, 17.2 en 17.3 die eind 2023 en begin 2024 verschenen. Oudere iPhones en iPads kunnen niet naar deze versies updaten. Onlangs waarschuwde Google dat een exploitkit van een spywareleverancier in handen van een spionagegroep en een groep financieel gemotiveerde criminelen was gekomen. Spywareleveranciers leveren voornamelijk aan overheidsinstanties en het is onbekend hoe de exploitkit gelekt is.
De groep criminelen maakt volgens Google op grote schaal misbruik van de kwetsbaarheden om iPhones met malware te infecteren en zo crypto-gerelateerde data en andere financiële informatie te stelen. Om oudere iPhones en iPads te beschermen heeft Apple iOS en iPadOS 15.8.7 voor iPhone 6s, iPhone 7, iPhone SE
(1e generatie), iPad Air 2, iPad mini (4e generatie) en iPod touch (7e generatie) uitgebracht. Eigenaren van een iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e generatie, iPad Pro 9.7-inch en iPad Pro 12.9-inch 1e generatie kunnen updaten naar iOS en iPadOS 16.7.15.
TU Eindhoven (TU/e) is een inter-nationaal vooraanstaande technische universiteit, gelegen in het hart van de Brainport-regio. Als Product Owner / Senior Security Officer geef jij richting én werk je aan de technische basis die dit ecosysteem draaiende houdt: een veilige, robuuste IT-omgeving die klaar is voor de toekomst.
Bron: Security.nl
Deel dit bericht: