Apple brengt dringende beveiligingspatches uit voor zero-day bugs bij actieve aanvallen

Gepubliceerd op 4 mei 2021 om 10:10

Apple heeft maandag beveiligingsupdates uitgebracht voor iOS , macOS en watchOS om drie zero-day-fouten aan te pakken en patches uit te breiden voor een vierde kwetsbaarheid waarvan het bedrijf zegt dat deze kwetsbaarheid reeds misbruikt wordt.

De zwakke punten hebben allemaal betrekking op WebKit, de browsermotor die Safari en andere webbrowsers van derden in iOS aandrijft, waardoor een hacker willekeurige code op doelapparaten kan uitvoeren. Een samenvatting van de drie beveiligingsbugs is als volgt:

Dergelijke kwetsbaarheden zijn via een drive-by download te misbruiken, waarbij het bezoeken van een gecompromitteerde of malafide website volstaat om te worden aangevallen. De beveiligingslekken in WebKit, aangeduid als CVE-2021-30666, CVE-2021-30665 en CVE-2021-30663, betreffen respectievelijke een buffer overflow, memory corruption en een integer overflow. Dit laatste probleem is door Apple verholpen door de invoer van gebruikers beter te valideren. Verdere details zijn niet gegeven.

CVE-2021-30663

Een kwetsbaarheid voor integer overflow die kan worden misbruikt om schadelijke web inhoud te vervaardigen, wat kan leiden tot code-uitvoering. De fout is verholpen door een verbeterde invoer validatie.

CVE-2021-30665

Een probleem met geheugenbeschadiging dat kan worden misbruikt om schadelijke web inhoud te vervaardigen, wat kan leiden tot het uitvoeren van code. De fout is verholpen door een verbeterd statusbeheer.

CVE-2021-30666

Een kwetsbaarheid voor bufferoverloop die kan worden misbruikt om schadelijke web inhoud te vervaardigen, wat kan leiden tot code-uitvoering. Het probleem is verholpen door een verbeterde verwerking van het geheugen.

De ontwikkeling komt een week nadat Apple iOS 14.5 en macOS Big Sur 11.3 heeft uitgerold met een oplossing voor een mogelijk uitgebuite kwetsbaarheid in WebKit Storage, genoteerd als CVE-2021-30661 , waarbij het use-after-free-probleem ontdekt en gerapporteerd werd aan de iPhone-maker door de beveiligingsonderzoeker genaamd Yangkang (@dnpushme) van securitybedrijf Qihoo 360.

Yangkang, samen met zerokeeper en bianliang, zijn gecrediteerd voor het melden van de drie nieuwe tekortkomingen.

Het is vermeldenswaard dat CVE-2021-30666 alleen invloed heeft op oudere Apple-apparaten zoals iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 en iPod touch (6e generatie). De iOS 12.5.3- update, die deze fout verhelpt, bevat ook een oplossing voor CVE-2021-30661.

Het bedrijf zei dat het op de hoogte is van berichten dat de problemen 'mogelijk actief zijn uitgebuit', maar, zoals doorgaans het geval is, niet uitweidde over de aard van aanvallen.

Gebruikers van Apple-apparaten wordt aangeraden om deze updates uit te voeren om het risico van de gebreken te verkleinen.

Bron: twitter.com, apple.com, thehackernews.com

Meer info over Zero Days lees je hier

Tips of verdachte activiteiten gezien? Meld het hier.