Apple dicht drie zerodays in iOS
woensdag 27 januari 2021
Apple heeft een update voor iOS uitgebracht waarmee drie zerodays worden gedicht. De gaten in de kernel en in WebKit werden volgens het bedrijf actief uitgebuit. Details over die specifieke aanval geeft het bedrijf niet.
Bron: tweakers.net/nieuws
Het gaat om gaten in iOS iOS 14.3 en iPadOS 14.3 die zijn bijgewerkt naar versie 14.4. In het besturingssysteem zaten drie bugs, schrijft Apple in de patch notes. Het is aan te raden het besturingssysteem zsm te updaten.
Bugs
De bugs werden aangedragen door anonieme beveiligingsonderzoekers. Een van de lekken zit in de iOS-kernel. CVE-2021-1782 is een privilege escalation-bug die ontstond door een race condition en die kon worden ingeladen door een geïnfecteerde applicatie
Daarnaast zijn ook twee andere lekken ontdekt in WebKit. Daar maakt onder andere de Safari-browser gebruik van. CVE-2021-1870 en CVE-2021-1871 zijn logic issues die waren uit te buiten door een geïnfecteerde website te bezoeken. Daardoor kon code worden uitgevoerd op het apparaat. Apple geeft geen nadere details over de kwetsbaarheden of de aanvallen waarin die gebruikt zouden worden. Gezien de aard van de lekken is het mogelijk dat die in combinatie met elkaar worden uitgevoerd.
Update
De update zal normalieter vanzelf beschibaar gesteld worden op jouw iPhone of iPad. Zo niet, dan kun je via Instellingen, Algemeen, Software-update, dit controleren en eventueel handmatig een zetje geven.
Wanneer 'download en installeer' niet beschikbaar is dan is waarschijnlijk de accu niet vol genoeg of ben je niet aangesloten op WiFi.
