Als u een Apple-gebruiker bent met verschillende apparaten, je moet goed letten op de nieuwste updates die het bedrijf zojuist heeft uitgebracht. Specifieker, beveiligingsupdates voor macOS, iOS, iPadOS, en Safari zijn uitgerold om een zero-day die in het wild is uitgebuit.
Wat is CVE-2023-23529?
CVE-2023-23529 is een kwetsbaarheid voor typeverwarring in WebKit, De browser-engine van Apple die wordt gebruikt in Safari, evenals alle webbrowsers op iOS en iPadOS. De fout wordt veroorzaakt door het verwerken van kwaadaardige webinhoud, en kan leiden tot het uitvoeren van willekeurige code op blootgestelde apparaten. Het werd opgelost met verbeterde controles, volgens Apple adviserend.
Het primaire doel van uitbuiting kan verband houden met spyware-activiteiten, ook wel bekend als. gebruikers bespioneren, maar er is geen officiële bevestiging over hoe de fout werd uitgebuit.
CVE-2023-23529 is gepatcht in de volgende besturingssystemen – iOS 16.3.1 en iPadOS 16.3.1, macOS Ventura 13.2.1, Safari 16.3.1, en waarschijnlijk in tvOS 16.3.2 en watchos 9.3.1 (die extra moet worden bevestigd).
Het is ook opmerkelijk dat de kwetsbaarheid in eerste instantie werd gemeld door een anonieme onderzoeker, maar daarna werd ook The Citizen Lab aan de Munk School van de Universiteit van Toronto genoemd als een bijdrager..
Andere kwetsbaarheden verholpen door Apple in februari 2023
Apple repareerde een user-after-free kwetsbaarheid in de kernelcomponent, geïdentificeerd als CVE-2023-23514. Door het probleem kunnen kwaadwillende applicaties willekeurige code met de hoogste rechten uitvoeren. Het is opgelost met verbeterd geheugenbeheer.
De nieuwste macOS-release loste ook een privacyprobleem in snelkoppelingen op waardoor kwaadwillende apps onbeschermde gebruikersgegevens konden observeren. Gelukkig, deze maas in de wet is ook opgelost – met verbeterde afhandeling van tijdelijke bestanden.
Om mogelijke exploitatiescenario's te voorkomen, u moet bijwerken naar de nieuwste versies – iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1, en Safari 16.3.1. Wat betreft de getroffen apparaten, de lijst bevat iPhone 8 en later, alle modellen iPad Pro, iPad Air 3e generatie en later, iPad 5e generatie en later, iPad mini 5e generatie en later, en Macs met macOS Ventura, macOS Big Sur, en macOS Monterey.
In februari 2021, een andere WebKit-kwetsbaarheid, CVE-2021-1801, werd uitgebuit door een malvertising-campagne om kwaadaardige payloads te injecteren die gebruikers doorverwezen naar sites die daarvoor waren ontworpen gift card oplichting.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: