Het geheim van Apple is bekend: 3 zero-days opgelost, dus zorg ervoor dat je nu patcht!

Onthoud die gezipte maar supersnelle update die Apple drie weken geleden uitgezet, op 2023-05-01?

Die update was de allereerste in de nieuwerwetse van Apple Snelle beveiligingsreactie proces, waarbij het bedrijf kritieke patches voor belangrijke systeemcomponenten kan pushen zonder een volledige update van het besturingssysteem te doorlopen die u naar een nieuw versienummer brengt.

Zoals we die week in de Naked Securirty-podcast nadachten:

Apple heeft zojuist "Rapid Security Responses" geïntroduceerd. Mensen melden dat ze seconden nodig hebben om te downloaden en een supersnelle herstart nodig hebben. [Maar] wat betreft de lippen stijf op elkaar [over de update], ze zijn met de lippen dichtgeritst. Absoluut geen informatie waar het over ging. Maar het was lekker snel!

Goed voor sommigen

Helaas waren deze nieuwe Rapid Security Responses alleen beschikbaar voor de allernieuwste versie van macOS (momenteel Ventura) en het nieuwste iOS/iPadOS (momenteel versie 16), waardoor gebruikers van oudere Macs en iDevices, evenals bezitters van Apple Watches, achterbleven en Apple TV's, in het donker.

Apple's beschrijving van de nieuwe snelle patches impliceerde dat ze doorgaans te maken zouden hebben met zero-day bugs die kernsoftware aantasten, zoals de Safari-browser en WebKit, de webrendering-engine die elke browser moet gebruiken op iPhones en iPads.

Technisch gezien zou je een iPhone- of iPad-browserapp kunnen maken die de Chromium-engine gebruikt, zoals Chrome en Edge doen, of de Gecko-engine, zoals Mozilla's browsers doen, maar Apple zou het niet in de App Store toelaten als je dat deed.

En omdat de App Store de enige "ommuurde tuin"-bron is van apps voor de mobiele apparaten van Apple, is dat dat: het is de WebKit-manier, of niet.

De reden dat kritieke WebKit-bugs vaak gevaarlijker zijn dan bugs in veel andere toepassingen, is dat browsers heel opzettelijk hun tijd besteden aan het ophalen van inhoud van overal en altijd op internet.

Browsers verwerken vervolgens deze niet-vertrouwde bestanden, die op afstand worden aangeleverd door de webservers van andere mensen, zetten ze om in zichtbare, klikbare inhoud en geven ze weer als webpagina's waarmee u kunt communiceren.

Je verwacht dat je browser je actief waarschuwt en expliciet om toestemming vraagt ​​voordat je acties uitvoert die als potentieel gevaarlijk worden beschouwd, zoals het activeren van je webcam, het inlezen van bestanden die al op je apparaat staan ​​of het installeren van nieuwe software.

Maar u verwacht ook dat inhoud die niet als direct gevaarlijk wordt beschouwd, zoals afbeeldingen die worden weergegeven, video's die worden weergegeven, audiobestanden die worden afgespeeld, enzovoort, automatisch wordt verwerkt en aan u wordt gepresenteerd.

Simpel gezegd, louter bezoek een webpagina mag u niet het risico geven dat er malware op uw apparaat wordt geïmplanteerd, dat uw gegevens worden gestolen, dat uw wachtwoorden worden opgesnoven, dat uw digitale leven wordt blootgesteld aan spyware of welk ander misdrijf dan ook.

Tenzij er een bug is

Tenzij er natuurlijk een bug in WebKit zit (of misschien meerdere bugs die strategisch kunnen worden gecombineerd), zodat uw browser kan worden misleid om iets te doen, alleen al door opzettelijk een afbeeldingsbestand met boobytraps, een video of een JavaScript-pop-up te maken. het zou niet moeten.

Als cybercriminelen, of verkopers van spyware, of jailbreakers, of de veiligheidsdiensten van een regering die u niet mag, of zelfs iemand die uw slechtste belangen behartigt, een dergelijke misbruikbare bug ontdekken, kunnen ze mogelijk de cyberbeveiliging in gevaar brengen. van je hele apparaat...

... gewoon door u naar een verder onschuldig ogende website te lokken die volkomen veilig zou moeten zijn om te bezoeken.

Welnu, Apple heeft zojuist zijn nieuwste Rapid Security Resonse-patches opgevolgd met volledige updates voor al zijn ondersteunde producten, en tussen de beveiligingsbulletins voor die patches zijn we er eindelijk achter wat die Rapid Responses waren daar te repareren.

Twee nuldagen:

• CVE-2023-28204: WebKit. Een leesfout buiten het bereik is verholpen door verbeterde invoervalidatie. Het verwerken van webinhoud kan gevoelige informatie vrijgeven. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
• CVE-2023-32373: WebKit. Een 'use-after-free'-probleem is verholpen door verbeterd geheugenbeheer. Het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Als er twee van dit soort zero-days tegelijkertijd in WebKit verschijnen, is het over het algemeen een goede gok dat ze door criminelen zijn gecombineerd om een ​​overnameaanval in twee stappen uit te voeren.

Bugs die het geheugen corrumperen door gegevens te overschrijven die niet mogen worden aangeraakt (bijv. CVE-2023-32373) zijn altijd slecht, maar moderne besturingssystemen bevatten veel runtime-beveiligingen die tot doel hebben te voorkomen dat dergelijke bugs worden misbruikt om de controle over het buggy-programma over te nemen.

Als het besturingssysteem bijvoorbeeld willekeurig kiest waar programma's en gegevens in het geheugen terechtkomen, kunnen cybercriminelen vaak niet veel meer doen dan het kwetsbare programma crashen, omdat ze niet kunnen voorspellen hoe de code die ze aanvallen in het geheugen wordt opgeslagen. .

Maar met nauwkeurige informatie over wat waar is, kan een ruwe, "crashtastische" exploit soms worden omgezet in een "crash-and-keep-control"-exploit: wat bekend staat onder de zelfbeschrijvende naam van een uitvoering van externe code gat.

Natuurlijk kunnen bugs die aanvallers uit geheugenlocaties laten lezen dat ze niet bedoeld zijn (bijv. CVE-2023-28204) niet alleen direct leiden tot gegevenslekken en misbruik van gegevensdiefstal, maar ook indirect leiden tot "crash-and-keep- control”-aanvallen, door geheimen over de geheugenlay-out in een programma te onthullen en het gemakkelijker te maken om het over te nemen.

Intrigerend genoeg is er een derde zero-day gepatcht in de laatste updates, maar deze is blijkbaar niet opgelost in de Rapid Security Response.

• CVE-2023-32409: WebKit. Het probleem is verholpen door verbeterde grenscontroles. Een externe aanvaller kan mogelijk uit de Web Content-sandbox ontsnappen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Zoals je je kunt voorstellen, zou het combineren van deze drie zero-days het equivalent zijn van een homerun voor een aanvaller: de eerste bug onthult de geheimen die nodig zijn om de tweede bug op betrouwbare wijze te misbruiken, en de tweede bug zorgt ervoor dat code kan worden geïmplanteerd om de derde te misbruiken. …

... op dat moment heeft de aanvaller niet alleen de "ommuurde tuin" van uw huidige webpagina overgenomen, maar de controle over uw hele browser, of erger.

Wat te doen?

Zorg dat je gepatcht bent! (Ga naar Instellingen > Algemeen > Software-update.)

Ook toestellen die begin maart 2023 al een Rapid Security Response hebben gekregen, moeten nog een zero-day patchen.

En alle platformen hebben vele andere beveiligingsreparaties ontvangen voor bugs die kunnen worden misbruikt voor aanvallen die uiteenlopen van: het omzeilen van privacyvoorkeuren; toegang tot privégegevens vanaf het vergrendelingsscherm; het lezen van uw locatiegegevens zonder toestemming; netwerkverkeer van andere apps bespioneren; en meer.

Na het updaten zou u de volgende versienummers moeten zien:

• watchOS: nu bij versie 9.5
• tvOS: nu bij versie 16.5
• iOS 15 en iPadOS 15: nu bij versie 15.7.6
• iOS 16 en iPadOS 16: nu bij versie 16.5
• macOS Grote Sur: nu op 11.7.7
• macOS Monterey: nu op 12.6.6
• macOS-onderneming: nu op 13.4

Belangrijke opmerking: als je macOS Big Sur of macOS Monterey hebt, zijn die allerbelangrijkste WebKit-patches niet gebundeld met de versie-update van het besturingssysteem, maar worden ze geleverd in een apart updatepakket met de naam Safari 16.5.

Veel plezier!

---

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• De toekomst slaan met Adryenn Ashley. Toegang hier.
• Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
• Bron: https://nakedsecurity.sophos.com/2023/05/19/apples-secret-is-out-3-zero-days-fixed-so-be-sure-to-patch-now/