Apple heeft onlangs drie zero-day-kwetsbaarheden in iOS aangepakt, iPadOS.
CVE-2021-1782, CVE-2021-1870, en CVE-2021-1871 kunnen bedreigingsactoren toestaan escalatie van bevoegdheden uit te voeren en aanvallen op afstand met code uit te voeren. Het bedrijf zegt dat de kwetsbaarheden waarschijnlijk in het wild zijn uitgebuit, zonder de aanvallen te specificeren’ omvang.
Meer over de drie Apple zero-days
De drie kwetsbaarheden zijn gemeld door een anonieme onderzoeker. Laten we eens kijken wat we tot nu toe over hen weten.
CVE-2021-1782
Het is opmerkelijk dat deze kwetsbaarheid de kernel op de volgende Apple-apparaten treft: iPhone 6s en hoger, iPad Air 2 en later, iPad mini 4 en later, en iPod touch (7e generatie). Apple's beschrijving zegt dat “een raceconditie is verholpen door een verbeterde vergrendeling.”
Als uitgebuit, deze zero-day zou een kwaadwillende toepassing in staat kunnen stellen de rechten op een kwetsbaar apparaat te verhogen, dus patchen wordt sterk aanbevolen.
CVE-2021-1870 en CVE-2021-1871
Deze twee bugs vertegenwoordigen een logisch probleem dat is verholpen via verbeterde beperkingen. Getroffen zijn iPhone 6s en hoger, iPad Air 2 en later, iPad mini 4 en later, en iPod touch (7e generatie).
Deze bugs zaten in de WebKit-browsermotor en konden een aanvaller in staat stellen om willekeurige code uit te voeren in de Safari-browser.
Apple-gebruikers moeten de tijd nemen om hun apparaten te herzien’ beveiliging en kijk of de patches zijn aangebracht.
Vorig jaar, beveiligingsonderzoekers bekendgemaakt een beveiligingsfout in Safari voor iOS en Mac, die zich voordeed doordat Safari de adresbalk van de URL bewaart wanneer deze werd aangevraagd via een willekeurige poort.”
Het probleem werd veroorzaakt door het gebruik van kwaadaardige uitvoerbare JavaScript-code op een willekeurige website. Door de code heeft de browser het adres bijgewerkt terwijl de pagina wordt geladen naar een ander adres dat door de aanvallers is gekozen.
Bedreigende actoren kunnen een kwaadaardige webpagina regelen en het slachtoffer misleiden om de link te openen die in een vervalste e-mail of sms is verzonden. Deze actie zou het potentiële slachtoffer van malware maken of zijn inloggegevens stelen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: