Apple heeft noodupdates uitgebracht om twee actief uitgebuite zero-day-fouten op oudere iPhones aan te pakken, iPads, en Macs. Het bedrijf verklaarde op de hoogte te zijn van een rapport dat mogelijk actief misbruik is gemaakt van dit probleem.
CVE-2023-28206, CVE-2023-28205 Nuldagen
De eerste maas in de beveiliging, bekend als CVE-2023-28206, is geclassificeerd als een out-of-bounds schrijfprobleem in IOSurfaceAccelerator. Door de kwetsbaarheid kunnen kwaadwillende actoren willekeurige code uitvoeren met kernelprivileges op doelapparaten. De tweede nuldag, CVE-2023-28205, is een WebKit use after free kwetsbaarheid waardoor schadelijke code kan worden uitgevoerd op gecompromitteerde apparaten nadat gebruikers zijn misleid om schadelijke webpagina's te laden. Deze beveiligingspatches zijn vrijdag vrijgegeven.
In overeenstemming met de kwetsbaarheden, Apple heeft vandaag software-updates uitgebracht om de in iOS ontdekte zero-day-kwetsbaarheden aan te pakken 15.7.5 en iPadOS 15.7.5, macOS Monterey 12.6.5, en macOS Big Sur 11.7.6. Deze updates verbeteren invoervalidatie en geheugenbeheer, en bescherm de volgende apparaten: iPhone 6s (alle modellen), iPhone 7 (alle modellen), iPhone SE (1e generatie), iPad Air 2, iPad mini (4e generatie), iPod touch (7e generatie), en Macs met macOS Monterey en Big Sur. Het is opmerkelijk dat de zero-day-fouten aanvankelijk werden geïdentificeerd door onderzoekers van Google's Threat Analysis Group en Amnesty International's Security Lab, die meldden dat ze in het wild werden uitgebuit.
Wat is een zero-day-kwetsbaarheid??
Nul-dag, of 0-dag, is een term die wordt gebruikt om een kwetsbaarheid te omschrijven, exploiteren, en aanval in software of hardware. Een Zero-Day Vulnerability is een softwarebug die onbekend is bij de softwareleverancier, waardoor een cybercrimineel er misbruik van kan maken voor kwaadaardige doeleinden. Een Zero-Day Exploit is de methode die door de cybercrimineel is ontwikkeld om de kwetsbaarheid te benutten, en een Zero-Day Attack is de inzet van de exploit in een aanvalsscenario, die kunnen worden gebruikt om gevoelige gegevens te stelen of andere vormen van schade aan te richten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: