Een agentschap van het Amerikaanse ministerie van Binnenlandse Veiligheid heeft deze week een waarschuwing afgegeven aan gebruikers van Apple-producten vanwege een beveiligingslek voor iPhones, iPads en MacOS-apparaten, toen Apple aankondigde beveiligingsupdates voor deze gebreken uit te brengen.
De dreiging was groot genoeg om een waarschuwing te krijgen van het DHS Cybersecurity and Infrastructure Security Agency (CISA), dat op 14 februari een verklaring uitbracht. De updates van Apple omvatten iOS 16.3.1, iPadOS 16.3.1 en macOS Ventura 13.2.1, terwijl het bedrijf Safari 16.3.1 uitrolt naar oudere Apple-besturingssystemen, waaronder macOS Big Sur en macOS Monterey.
“Apple heeft beveiligingsupdates uitgebracht om kwetsbaarheden in meerdere producten te verhelpen. Een aanvaller kan deze kwetsbaarheden misbruiken om de controle over een getroffen apparaat over te nemen”, aldus het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) in een verklaring op 14 februari.
Het bulletin van CISA adviseert gebruikers en beheerders “om de pagina met beveiligingsupdates van Apple voor de volgende producten te bekijken en de benodigde updates zo snel mogelijk toe te passen.”
Dat omvat updates voor Safari 16.3.1, iOS 16.3.1 en iPadOS 16.3.1, en macOS 13.2.1, aldus het bericht. Op de website van Apple staat dat de bugfix wordt uitgerold omdat “een app arbitraire code kan uitvoeren met kernelprivileges,” en een andere maakt het mogelijk dat “het verwerken van kwaadaardig bewerkte webinhoud kan leiden tot willekeurige code-uitvoering.
Voor de tweede bug, of CVE-2023-23529, zei Apple dat het “op de hoogte is van een rapport dat dit probleem mogelijk actief is uitgebuit”.
Scott Radcliffe, een woordvoerder van Apple, zei tegen techwebsite Endgadget dat het niet over meer details beschikt over de exploits die in de beveiligingsupdates werden genoemd. The Epoch Times heeft contact opgenomen met het bedrijf uit Cupertino, Californië, voor commentaar.
Beveiligingsonderzoeksbureau Sophos gaf dinsdag meer details over de beveiligingsupdate en zei dat gebruikers zo snel mogelijk moeten updaten. De beveiligingsfouten worden omschreven als een “zero-day spyware implant bug”, wat betekent dat het gaat om een voorheen onbekende kwetsbaarheid die actief kan worden uitgebuit.
“Gewoon kijken naar een website, die ongevaarlijk zou moeten zijn, of het openen van een app die voor een van zijn pagina’s afhankelijk is van web-based content (bijvoorbeeld een splash screen of een helpsysteem), kan genoeg zijn om je apparaat te infecteren”, staat er over een van de exploits.
“Vergeet ook niet dat op de mobiele apparaten van Apple, zelfs niet-Apple browsers zoals Firefox, Chrome en Edge door de AppStore regels van Apple gedwongen worden zich aan WebKit te houden,” zegt de website. “Als u Firefox (dat zijn eigen browser ‘engine’ genaamd Gecko heeft) of Edge (gebaseerd op een onderliggende laag genaamd Blink) op uw Mac installeert, gebruiken die alternatieve browsers geen WebKit onder de motorkap, en zullen daarom niet kwetsbaar zijn voor WebKit bugs,” merkte het op.
Hoe updaten?
Over het algemeen hebben Apple gebruikers automatische updates ingeschakeld. Als dat echter niet het geval is, kan een gebruiker naar het Apple-menu gaan, op “Over deze Mac” klikken en vervolgens op “Software-update”.
Op een iPad, iPhone of ander iDevice kunnen ze naar “Instellingen”, “Algemeen” en “Software-update” gaan.
“Als uw Apple-product niet op de lijst staat, met name als u bent blijven steken in iOS 15 of iOS 12, kunt u op dit moment niets doen, maar we raden u aan de HT201222-pagina van Apple in de gaten te houden voor het geval uw product is getroffen en de komende dagen een update krijgt”, merkt Sophos op.
Gepubliceerd door The Epoch Times (15 februari 2023): Federal Agency Warns Millions of iPhone Users to Change Settings Now