Apple heeft onlangs beveiligingsoplossingen voor iOS uitgebracht, iPadOS, watchos, en macOS, het aanpakken van kwetsbaarheden gerapporteerd door Google's Project Zero. Volgens de beveiligingsadviezen van het bedrijf, drie van de gebreken zijn gemeld door Project Zero en worden in het wild uitgebuit.
Deze gebreken zijn een fout bij het uitvoeren van externe code (CVE-2020-27930), een kernelgeheugenlek (CVE-2020-27950), en een escalatie van kernelrechten (CVE-2020-27932). Eigenaren van Apple-apparaten moeten hun software zo snel mogelijk bijwerken. Het is ook opmerkelijk dat "Apple niet onthult, bespreken, of bevestig beveiligingsproblemen totdat er een onderzoek heeft plaatsgevonden en patches of releases algemeen beschikbaar zijn. "
CVE-2020-27930
Deze kritieke kwetsbaarheid is aanwezig in macOS tot versie 10.15.7. De fout betreft een onbekende verwerking van de FontParser-component. Volgens Vulnerability Database, de manipulatie ervan kan leiden tot geheugenbeschadiging. Bovendien, de fout is triviaal om te misbruiken en kan op afstand worden misbruikt.
CVE-2020-27950
Dit is een problematische kernelkwetsbaarheid in Apple iOS en iPadOS tot 14.1, wat kan leiden tot het vrijgeven van informatie. Wat tot dusver bekend is, is dat het misbruiken van de fout eenvoudig lijkt, en het zou lokaal moeten gebeuren. Eenmalige authenticatie is vereist voor de aanval. De kwetsbaarheid kan een kwaadwillende app ook helpen om willekeurige code met kernelrechten uit te voeren.
CVE-2020-27932
Deze kwetsbaarheid in de kernel lijkt van invloed te zijn op Apple iOS en iPadOS tot 14.1, evenals Apple watchOS tot 5.3.8/6.2.8/7.0.3. Er is weinig bekend over de fout, en de impact ervan is nog onbekend.
Echter, beveiligingsonderzoekers waarschuwen dat deze tekortkomingen aan elkaar kunnen worden geketend om de apparaten van gebruikers te kapen. Gebruikers kunnen worden misleid om een specifieke actie uit te voeren, zoals het openen van een document, bericht, of webpagina die een schadelijk lettertype laadt. Dit kan vervolgens leiden tot code-uitvoering met kernelbevoegdheden.
Overeenkomstige updates zijn uitgebracht in iOS 14.2 en iPadOS 14.2, watchos 7.1, MacOS 10.15.7, en tvOS 14.2. Het bedrijf heeft ook iOS uitgegeven 12.4.9 voor verouderde iPhone-modellen die niet langer worden ondersteund, terug naar de iPhone 5. Voor meer informatie, jij kunt lezen De officiële bulletins van Apple.
In april van dit jaar, meldde beveiligingsonderzoeker Bhavuk Jain een zero-day-kwetsbaarheid in de functie Aanmelden met Apple die applicaties van derden beïnvloedden, gebruiken zonder hun eigen beveiligingsmaatregelen te implementeren.
Volgens Jain, de Apple zero-day "had kunnen resulteren in een volledige overname van gebruikersaccounts op die externe applicatie, ongeacht of een slachtoffer een geldige Apple ID heeft of niet."
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: