Apple fixt met iOS 15.6.1 lek dat mogelijk actief misbruikt werd

Apple heeft een lek gedicht in macOS 12.5, iOS 15.6 en iPadOS 15.6 dat mogelijk al actief werd misbruikt. Er zijn nog geen details over de kwetsbaarheid. Apple roept gebruikers op hun apparaten zo snel mogelijk te updaten.

De updates zijn macOS 12.5.1, iOS 15.6.1 en iPadOS 15.6.1, meldt Apple. Het gevolg van het lek kan zijn dat een app code kan uitvoeren met kernelprivileges, maar voor de rest zegt Apple niets over de aard van de kwetsbaarheid. Wel vermeldt Apple een CVE-aanduiding van het lek, maar de anonieme beveiligingsonderzoeker die het lek heeft gemeld, heeft er nog niets over gepubliceerd. Het gaat om CVE-2022-32894.

Behalve dit lek dicht de update ook een bug in WebKit die kan leiden tot het uitvoeren van willekeurige code op het systeem. Het gebeurt vaker dat Apple updates uitbrengt die zerodaykwetsbaarheden in zijn besturingssystemen dicht. Gebruikers krijgen de updates over-the-air binnen op hun apparaten. Versie 15.6 van iOS kwam vorige maand uit.

Reacties (79)

fapkonijntje 18 augustus 2022 09:23

Behalve dit lek dicht de update ook een bug in WebKit die kan leiden tot het uitvoeren van willekeurige code op het systeem.

Dat blijft toch echt een zwakte van iOS, dat om een zeroday in een browser bij te werken, het hele OS bijgewerkt moet worden. Op Windows, Android en eigenlijk alle andere besturingssystemen die je kunt bedenken hoef je alleen een app bij te werken in plaats van heel het OS. Dit gat in webkit is namelijk ook met Chrome en Edge 104 gedicht, maar die update is al best een tijdje uit en kan overal geïnstalleerd worden. Zelfs op zwaar bejaarde Android versies.

Luminair @fapkonijntje • 18 augustus 2022 09:32

Dat komt omdat webkit niet alleen in Safari wordt gebruikt, maar ook als in de in-app browser van alle Apps.

Hoe werkt dat op Android eigenlijk? Als je daar in een Twitter app op een link klinkt en je wil binnen de app blijven, dan krijg je toch gewoon een soort chromium instantie?

TechSupreme @Luminair • 18 augustus 2022 09:39

Net zoals het in macOS/iOS ook werkt. Elke OS kent het concept dependecies, dit kan zijn in de vorm van een library een externe executable of een andere vorm van een component. Elke OS is op component basis gebouwd, zo kan je ding toevoegen aan je programma zonder dat je van 0 hoeft te beginnen.

De maker van dat component kan onafhankelijk van jou zijn component updaten en zolang er geen zware veranderingen zijn aan de interface kan je zo het geüpdatete component erin plaatsen. Zo zou je webkit gewoon zo kunnen updaten zonder problemen. Er zijn genoeg apps die er ook gebruik van maken en die blijven werken zonder een update.

Dat je het hele OS moet updaten voor webkit is onzin. De reden waarom je het hele OS moet updaten is omdat Apple ervoor heeft gekozen om de hele image te signen. Zodra je processor detecteert dat er ook maar iets is veranderd aan die image werkt het niet meer.

Het is gewoon de filosofie van Apple. De buitenmuren zo goed mogelijk verdedigen dan hoef je je geen zorgen te maken over de binnenplaats. Dit zie je terug komen in al hun producten.

[Reactie gewijzigd door TechSupreme op 26 juli 2024 05:07]

erwinb @TechSupreme • 18 augustus 2022 10:19

één kleine aanvulling,
de update van iOS 15.6 naar 15.6.1 is ongeveer 264MB op een iphone 11.
een volledig download van iOS15 is kan ik zo snel niet vinden, maar deze neemt ongeveer 8GB aan ruimte in.
je download dus niet het volledige OS, maar alleen het deel dat is aangepast

WhatsappHack

Apple
Apple iOS

@erwinb • 18 augustus 2022 10:44

Incremental noemen we dat. Blijft overigens dubbel gesigneerd.

xiphoid @erwinb • 18 augustus 2022 14:18

1.5gb op mijn iphone 11 pro max

Erik1337 @erwinb • 19 augustus 2022 00:58

Dat is enkel de download. Het installeren/bijwerken is wel de volledige OS.

Anoniem: 1322 @TechSupreme • 18 augustus 2022 16:20

Nog een aanvulling, het is al niet zo erg als de topicstarter voorstelde maar het is wel een ding waar ze mee bezig zijn. In IOS 16 (september) komen er kleinere security updates.

Rapid Security Response
With ‌iOS 16‌, Apple can send out security updates without needing to update the entire operating system. in iOS 15, security updates are tied to iOS updates and require a full update, but ‌iOS 16‌ will make it easier for Apple to distribute security updates, and it will make them quicker to download.

When you update to ‌iOS 16‌, Apple will set your device to install security updates automatically, but the feature can be turned off under General > Software Update > Automatic Updates.
Get important security improvements to your devices even faster. These improvements can be applied automatically between standard software updates.

n3z @Luminair • 18 augustus 2022 09:39

Waarom gebruiken we eigenlijk in-app browsers als we ook een browser (of 2-3) als app hebben op onze telefoons?

erikieperikie @n3z • 18 augustus 2022 09:51

Dit kan de gebruikerservaring in de juiste gevallen verbeteren. Als altijd een aparte browserapp zou openen, dan kan dat voor de gebruiker langzamer aanvoelen. De browserapp is namelijk groter om in het geheugen te laden dan slechts een webview. Daarnaast wil de appontwikkelaar mogelijk dat de gebruiker binnen zijn/haar app blijft; immers, in de browser kan de gebruiker via de adresbalk zomaar doornavigeren naar andere sites. Een complexere reden zou kunnen zijn dat je als appontwikkelaar niet weet welke browser zou openen (er zijn legio browsers) en welke sessie daar al dan niet actief is. Bijvoorbeeld:

Ik ben in de app van dienst X ingelogd als gebruiker A.
Ik ben in mijn browser ingelogd via de website van X als gebruiker B.
Nu open ik (A) een link vanuit app X die zou openen in de browser. Welke gebruiker gaat nou de geopende link bekijken? Moet de website spontaan B uitloggen en een sessie starten voor A? Wat verwachten de gebruikers A en B? Wat verwacht dienst X?

In dit geval kun je het jezelf makkelijker maken door gewoon simpelweg niet uit te stappen naar de browser en gewoon binnen je eigen app-sandbox te blijven.

En zo zijn er vast meer UX-gerelateerde, technische en beveligingsredenen om in-app browsers te gebruiken.

Iblies @erikieperikie • 18 augustus 2022 11:46

Je bedoelt dat de app cookies zelf kan bewaren en/of gegevens kan doorsturen.

Er geen reden waarom een app de browser apart met eigen preset laat draaien anders dan zelf informatie vergaren.

Een simpel voorbeeld zijn de talloze apps voor oa nieuws. Die houden netjes bij wat je doorklikt. Aan de hand daarvan maken ze beleid wat “belangrijk” is en waar ze meer tijd aan gaan besteden wat op gegeven moment averechts werkt.

swhnld

@n3z • 18 augustus 2022 10:00

Op Android kun je dat volgens mij uitzetten, dus dan opent altijd de browser ipv in app te blijven. In iOS heb ik die setting nog niet gezien.

Waarom dat doen, vanuit de APP ontwikkelaar gezien, die wil je graag binnen de app houden.
Vanuit de gebruiker is het voordeel dat je niet tig open tabs in je browser krijgt van elke keer dat je ergens op doorklikt in een nieuwsbrief, of de help, of....

b12e @swhnld • 18 augustus 2022 11:18

Apps kunnen die instelling zelf aanbieden. Slack doet dat bijvoorbeeld, waar je kan kiezen om externe links "in-app" of in je browser te openen.

Een app als Slack moet mij echt niet in hun app houden als ik bvb Jira links openklik, dus ik heb ervoor gekozen voor die app om altijd in de browser te openen.

pookie79 @n3z • 18 augustus 2022 09:42

Vaak om binnen een app deels een html pagina te kunnen laten zien zonder dat dan naar een andere app moet worden gegaan. (Op Apple heb je er altijd maar 1, de anderen gebruiken de webkit verplicht ook maar bouwen een eigen schil er omheen.)

TechSupreme @n3z • 18 augustus 2022 10:14

Als je wil zeggen dat de app dan maar een browser moet openen, dit vind ik echt irritant. Vooral bij iDeal betalingen is dit zeer irritant omdat er soms wel tot 3 losse pagina's worden geopend. En ohwee als je de default browser hebt veranderd. Dan kan het gebeuren dat een van de apps standaard safari opent en de redirect naar de betaal pagina niet meer werkt. Dit vernaggelt de hele automatisering in veel webshops waardoor je bestelling niet meer automatisch op betaalt wordt gezet. Als je geluk hebt pikt het systeem zelf na een tijdje dit op en als je pech hebt dan moet je mailen.

Ik vind het vaak wel handig als een pagina als een popup of in-app worden getoond. Zeker omdat je te maken hebt met een klein scherm waar je niet makkelijk kan multi-tasken.

[Reactie gewijzigd door TechSupreme op 26 juli 2024 05:07]

Carlos0_0

Apple
Apple iOS

@n3z • 18 augustus 2022 09:45

2 of 3 ik heb er op de telefoon maar 1 Safari meer dan genoeg

pookie79 @Luminair • 18 augustus 2022 09:35

In Android werkt het het zelfde. Maar dan wel los als systeem app. Je kan ook veranderen in het systeem welke je wilt gebruiken bv chrome of webview. Het is niet zo dat in iOS het met het OS moet worden geüpdatet omdat het vaker gebruikt wordt, maar omdat systeem apps überhaupt niet zonder OS updates bijgewerkt kunnen worden.

[Reactie gewijzigd door pookie79 op 26 juli 2024 05:07]

Remzi1993 @Luminair • 18 augustus 2022 10:09

Bij Android is dat ook een aparte "app" Android System WebView en tegenwoordig als Google Chrome is geïnstalleerd dan neemt diende WebView taken over maar als je Chrome niet heb geïnstalleerd dan doet deze WebView het. Beide worden geüpdate via de App store.

unreal0 @Luminair • 18 augustus 2022 10:35

Alle browsers in iOS moeten toch webkit gebruiken? (Wat ik verschrikkelijk vind overigens, waar ik het meest tegen aan loop is dat je geen desktop mode kan forceren op sites..)

En nee, die ‘vraag om’ desktop modus werkt vrijwel niet tegenwoordig.

Loller1

Besturingssystemen

@Luminair • 18 augustus 2022 13:02

Dus? Windows en Android gebruiken ook in-app browsers die door het OS geleverd worden, en beide besturingssystemen werken die regelmatig bij via updates zoals iedere andere app dat kan doen.

Luminair @Loller1 • 18 augustus 2022 13:57

Windows Apps die een WebView(2) gebruiken, gebruiken niet de Edge die je gewoon kan opstarten, maar een eigen runtime met eigen binaries. (https://docs.microsoft.co...ew2/concepts/distribution)

Je kan eigenlijk dus niet zeggen dat de Edge die in zo'n applicatie draait geleverd wordt door het OS. Wat gaf je het idee dat het dezelfde browser was?
in sommige gevallen zijn die blijkbaar wel hard gelinkt aan de Edge installatie, al is het onduidelijk wat voor criteria daar voor zorgen. Embedded systemen? Volgens mij is dit niet standaard, en gebruiken veel apps in elk geval statische binaries omdat ze dat willen vastzetten.

Dus?

Waar doelde je hiermee op? Ik stelde alleen vragen, ik maakte geen stelling of implicaties.

[Reactie gewijzigd door Luminair op 26 juli 2024 05:07]

LNDN @Luminair • 18 augustus 2022 16:47

Volgens mij gaat altijd gewoon de volledige Edge open als je in de OS of een WinStoreApp een link opent toch?

Luminair @LNDN • 18 augustus 2022 21:22

Nouja, dus alleen in bepaalde gevallen zijn die binaries gelinkt, maar dat hoeft niet per se. Het hangt echt van de applicatiebouwer af of die de runtime zelf inbakt, of een gedeelde lib/runtime gebruikt daarvoor. En in het laatste geval is het mogelijk dat dat ook de Edge is die je aanklikt, maar ook niet altijd.

LNDN @Luminair • 18 augustus 2022 21:25

Maar ik bedoel: alle links gaan toch automatisch open in een nieuwe edge tab of venster of heb ik toevallig alleen maar apps gezien die geen ingebakken versie gebruiken. Zoja, wil ik wel graag weten welke winstoreapp wél een ingebakken browser doet voor externe websites. Ik heb geen webview-style gezien zoals dat bijv. op android wel gaat in de app zelf.

Luminair @LNDN • 18 augustus 2022 21:37

Het ding met die WebViews is dat ze net zo goed te stijlen zijn als een Electron app, waardoor het vaak heel native lijkt. Veel apps gebruiken een webview voor het Help menu, of het About venster. Verder weet ik het zo niet uit mijn hoofd, maar het moet wel een aanzienlijk aantal zijn, omdat iOS/Android apps daar ook gretig gebruik van maken.

Steam is denk ik wel een goed voorbeeld, al weet ik niet wat die op het moment voor engine gebruikt -- ooit was dat Trident, wat IE was.

LNDN @Luminair • 18 augustus 2022 21:39

Maar steam is geen windows store app. Ik heb het puur over windows store apps, omdat die nog enigszins te vergelijken zijn met appstore apps en playstore apps in hun uitrol. Hyperlinks naar websites gaan daaruit altijd naar de volledige edge open.

LNDN @Luminair • 18 augustus 2022 16:45

Een webview app op Android is idd gewoon een app die dan aangeroepen wordt en daar heeft Mozilla er ook een van op basis van Firefox.

MoonSafari @fapkonijntje • 18 augustus 2022 09:41

Zo zou je het inderdaad kunnen zien. Ik zie het precies omgekeerd, dus als een kracht en de juiste manier van security.
Via de OS update zorg je er namelijk voor dat alle programma's/functies dezelfde (veilige) library gebruiken en ben je niet afhankelijk van wat developers zelf in programma's stoppen en packagen. Dit zou namelijk betekenen dat je alle programma's los zou moeten updaten die van deze library gebruik maken en daarvoor ook afhankelijk bent van wanneer die developer besluit een update uit te brengen.

xFeverr @MoonSafari • 18 augustus 2022 10:03

Het gaat er om dat het gehele OS een update kan krijgen. Als er een typefout in de weerapp zit, dan moet daar een nieuwe iOS-versie voor uitgebracht worden om dat te kunnen fixen, ipv dat alleen de weerapp een update kan krijgen. Als de rekenmachine een klein bugje heeft, dan moet daar een gehele iOS versie voor gemaakt worden.

En Als Safari een beveiligingslek heeft, dan kunnen ze dat ook niet even apart, los van het OS, updaten. Nee, daar moet een geheel nieuwe iOS versie voor gebakken worden.

Het zou wel fijn zijn als deze kleine updates gewoon sneller geïnstalleerd kunnen worden, maar ik dacht dat Apple in de volgende iOS versie daar misschien iets voor heeft gevonden.

Naafkap @xFeverr • 18 augustus 2022 10:07

Het is dus niet een volledige OS update, immers dan zou elke update dezelfde grootte hebben van enkele honderden MB’s. Deze patch is een goede 250 MB en dat kan nooit het volledige OS bevatten.

Het installeren is dan ook zo gepiept. Een volledige OS update zoals deze 1x per jaar komt is aanzienlijk groter en duurt aanzienlijk langer.

Apple kiest er gewoon voor om het update-proces eenvoudig te houden op 1 plek. Prima wat mij betreft.

xFeverr @Naafkap • 18 augustus 2022 10:26

Jouw definitie van 'zo gepiept' is duidelijk anders dan die van mij. Geen enkele update van Apple is 'zo gepiept', of het nu iOS, MacOS of, misschien wel de ergste van allemaal, Xcode is. Het duurt zo... ontzettend... lang...

Je bent gewoon 10 minuten tot een kwartier telefonisch onbereikbaar als je deze update installeert. Dat is niet 'zo gepiept'.

Banix @xFeverr • 18 augustus 2022 10:54

Bij mij duurde het zojuist echt minder dan 5 minuten?

Blurk62 @xFeverr • 18 augustus 2022 11:12

Oei, wel 10-15 minuten niet bereikbaar. Haha, het is duidelijk dat je niet van mijn generatie bent. Als ik vroeger een brief op de post ging doen (zomaar een voorbeeld) was ik al langer dan dat niet bereikbaar

xFeverr @Blurk62 • 18 augustus 2022 13:40

nou, dat valt ook wel mee

in mijn jeugd had je gewoon het antwoordapparaat aan je huistelefoon.

Ik had op dat moment een telefoontje verwacht, dus dat maakte het wel vervelend. Voor de rest valt het wel mee hoor .Maar het is zeker niet 'zo gepiept'.

thomskipsp @xFeverr • 18 augustus 2022 11:56

4 minuut en 35 seconden hier op een SE inclusief reboot. Ja inderdaad, je bent even niet bereikbaar. Hopen dat ze snel een optie maken waar je niet hoeft te rebooten.

H.Boss @xFeverr • 18 augustus 2022 12:20

10 minuten, damn! Nu moet je een dag inplannen om iedereen te gaan bellen en appen die jou in die 10 minuten heeft geprobeerd te contacteren.

Luchtbakker @fapkonijntje • 18 augustus 2022 09:36

Nee. Ik zie het bijwerken van een heel systeem om een simpele browser juist als een heel krachtig veilig middel. Je kan namelijk niets als malafide app zijnde met systeembronnen doen omdat je de rechten niet hebt. Ze kunnen dus de browser app niet aanpassen om er malafide code mee te runnen. Dat kan bij Android weer wel, met talloze voorbeelden van hoe het fout is gegaan.

Keerzijde is dan wel dat je een beveiligingslek in de app moeilijker kan patchen, en je vaak meer rechten hebt om het lek te misbruiken. Maar dat zou je met een losse app ook hebben gehad.

Nee, efficient is de manier van updaten zeker niet. Maar veilig is het zeker wel.

pookie79 @Luchtbakker • 18 augustus 2022 09:46

Kun je mij dan talloze voorbeelden geven (of uberhaupt enkelen?) want op android wordt gewoon net zo goed gesigned als op apple. En de plek waar de code van de app staat kun je niet schrijven. De installer wel natuurlijk maar je de updater van iOS ook...

Wat wel kan is toestaan onbekende bronnen te gebruiken en dan sideloaden. Dat is inderdaad gevaarlijk maar gelukkig kun je dat ook uitzetten als je veiligheid belangrijk vind. Je zal sowieso een melding krijgen als het wordt geprobeerd.
Tuurlijk zijn er wel andere onveiligheden maar dat het met een OS update moet om veilig te zijn omdat anders de app kan worden aangepast is niet heel reeel in mijn ogen.

(even een stukje history:
In den beginne was het op iOS niet de bedoeling dat derden apps zouden gaan maken, maar anderen hadden daar wel plannen voor of hadden het zelfs al. Andere apps dan die Apple al had mochten later wel; dus geen mail app of calendar want die had Apple al, maar wel bv spelletjes. Die gingen in een store, maar voor mail (want dat mocht niet) zou het raar zijn om die in de store te zetten als je niet mag kiezen en het moet hebben. Daarom werden die niet in de store gezet maar in het systeem gezet zodat je niet een andere kon kiezen. Dit had ook als voordeel dat men altijd een goede simpele app had voor de basic taken. Zo konden/kunnen zelfs de meest a-techinsche mensen er mee omgaan en support geven is daardoor erg makkelijk)

[Reactie gewijzigd door pookie79 op 26 juli 2024 05:07]

Naafkap @fapkonijntje • 18 augustus 2022 09:56

Het hele OS? Feitelijk zal je gelijk hebben denk ik, maar de update is hier 269 MB. Ik kan me niet voorstellen dat dit het hele OS is, maar gewoon een deel met een patch.

Is ook zo geïnstalleerd trouwens. Paar minuten werk.

Voordeel is dat je bij iOS verzekerd bent van vele jaren updates. Dat is bij de concurrent wel anders. Dan is het mooi dat je veel via de play store bij Android kan patchen als de support van de telefoonfabrikant is gestopt, maar veel gevaarlijke bugs zitten vaak in het systeem zelf. Bij veel toestellen ben je dan na zo’n drie jaar na toestellancering de pineut.

Remzi1993 @Naafkap • 18 augustus 2022 10:12

Android wordt steeds meer modulair en er zijn verschillende projecten bij Google die dat steeds verder modulair maken. Op een gegeven moment gaat Google bijna alles via de Play Store updaten en kunnen fabrikanten alleen een skin eroverheen doen, maar moet de core compatible zijn om via de Play Store te kunnen updaten.

masterwillems @fapkonijntje • 18 augustus 2022 09:29

Het helpt ook niet dat updaten zeer bagger werkt op een iPhone/iPad. Heb van beide 1 van mijn werk en staan nu al een half uur op "update voorbereiden".

Deleon78 @masterwillems • 18 augustus 2022 12:07

Je kan gewoon doorgaan met wat je wilt doen. Wat is het probleem?

masterwillems @Deleon78 • 18 augustus 2022 13:13

Ik voer een update (ongeacht welk systeem) altijd bewust uit op een moment dat het voor mij uitkomt. Downloaden/initialiseren/installeren/restart.

Met de iPhone/iPad werkt dat dus niet, je klikt op de knop updaten en dan doet die dat niet. Hoogstens direct downloaden. Vervolgens leg ik de telefoon weg, wil ik drie kwartier later de telefoon gebruiken om te bellen, is die aan het updaten en kan dat niet. Dat is gewoon hinderlijk.

jmvdkolk @masterwillems • 18 augustus 2022 17:13

Jouw "klacht" is dus dat het updaten te lang duurt. Dat is zeker een issue, dat veel updates lang duren van start to finish. Maar dat is natuurlijk wel wat anders dan dat het bagger werkt.

Wat ikzelf "bagger" vind is dat de automatische update vaker niet dan wel werkt. Als ik de update niet handmatig start dan krijg ik wekenlang de melding dat de update die nacht geinstalleerd gaat worden.

Mr. Freeze @fapkonijntje • 18 augustus 2022 09:34

Valt wel mee hoor, ook al is het het hele OS, de update was maar iets van 295 MB ofzo, dus het wordt enkel op betreffende onderdelen bijgewerkt.

fapkonijntje @Mr. Freeze • 18 augustus 2022 22:10

Ik denk dat je het niet begrijpt. Het is hoe dan ook een update voor het besturingssysteem. Op alle andere besturingssystemen die op dit moment courant zijn is het een kwestie van de applicatie updaten. Dat kan via bijvoorbeeld de play store, windows store of ingebouwde updater van de app.

Apple moet dus een OS update pushen en dat is altijd omslachtiger dan een simpele app updaten. Daarbij is een app ingebakken zo diep in het OS een serieus beveiligingsrisico. Dat lesje hadden we dacht ik al meer dan 10 jaar geleden geleerd van MS met IE6.

iMessage is zo ook onderdeel van het OS. 90% van de hacks gaan dan ook via Safari en iMessage. Dat is dubbel zuur want het zijn specifiek ook apps waarmee je veel interactie met externe content hebt. Niemand die nu software maakt, maakt dit soort fouten. Google heeft heeeel lang geleden ook webview losgetrokken van het OS op Android omdat dat een van de grote risico's waren. Apple is alleen een beetje eigenwijs en bijzonder hardleers.

winwiz

@fapkonijntje • 18 augustus 2022 09:37

Dat is niet helemaal correct. Soms is een update maar een paar honderd MB. Een volledige update van iOS is tegen de 2 GB

eilavid @fapkonijntje • 18 augustus 2022 09:40

iOS 16 en macOS Ventura van dit najaar zou dit moeten gaan oplossen met "background security updates"

fapkonijntje @eilavid • 18 augustus 2022 22:11

Dat is dus nog wat anders dan risicovolle applicaties los bijwerken van het OS. De boel zit dus nog steeds in het OS en is zodoende nog steeds een risico.

erikieperikie @fapkonijntje • 18 augustus 2022 09:55

Uiteindelijk gebruiken alle browsers het OS om met de hardware, zoals UI en netwerklagen, te interacteren. In het OS, of in de combinatie van OS en WebKit, zou zomaar de bug kunnen zitten. Idealiter zijn al deze systemen compleet losgekoppeld en kunnen ze los van elkaar functioneren en geüpdatet worden, maar het is nou eenmaal ook efficiënt om ze samen te ontwikkelen, dus enige koppeling te introduceren. Het is een balans waarin Apple blijkbaar de keuze heeft gemaakt om het risico te nemen dat gebruikers een OS-update moeten installeren bij bepaalde bugs in de apps op het OS.

Nindustries @fapkonijntje • 18 augustus 2022 10:23

Dit zou ook (eindelijk) opgelost worden met Rapid Security Response in volgende iOS/macOS/iPadOS.
Eindelijk security updates zonder full OS patch en dus reboot. $_/-\o_$

fapkonijntje @Nindustries • 18 augustus 2022 22:18

Dat lost niets op, dat is symptoombestrijding. Safari zit nog steeds zodanig diep in het OS dat bij een vulnerability je veel te veel kunt. De reden dat Android nog steeds veiliger is dan iOS is juist omdat je bij een gat in de browser nog steeds nergens bent. Dat hele Pegasus verhaal? Die kwamen gewoon binnenwandelen via iMessage en Safari.

Maurits van Baerle

Apple macOS

@fapkonijntje • 18 augustus 2022 10:32

Het is dan ook strikt genomen geen update van de browser maar een update van de systeem library die Webkit heet.

De verschillende browsers op iOS, waar Safari er één van is, leunen allemaal op Webkit.

Ik weet eerlijk gezegd niet of ik een voorstander zou zijn om een module die zo diep in het OS zit te laten vervangen door een app uit de App Store.

fapkonijntje @Maurits van Baerle • 19 augustus 2022 14:42

Dat gaat voor Android anders ontzettend goed. Waarom zou dat een probleem moeten zijn voor Apple?

Maurits van Baerle

Apple macOS

@fapkonijntje • 19 augustus 2022 16:08

Wat voor onderdelen van het OS worden er op Android geüpdatet via apps dan?

fapkonijntje @Maurits van Baerle • 19 augustus 2022 16:55

Geen, want bijna niets is meer onderdeel van het OS. Waar hij Apple Safari een OS component is, is dat al bijna tien jaar een los onderdeel op Android met de naam webview.

Ik denk dat je het punt niet snapt. Onderdelen van het OS zijn apps gemaakt door onder andere Google, juist om ze los te kunnen bijwerken. Dus welke onderdelen van het OS bij Android via de play store gaan is een vraag die altijd als antwoord 'geen' zal hebbben en dat is ook het punt niet. Wat het wel is, is dat met oog op beveiliging veel OS componenten in apps zijn ondergebracht, waaronder messaging apps en webview, zaken die bij iOS nog onderdeel zijn van het OS.

Bij Android worden die dan ook los bijgewerkt. Aangezien een browser iets is waarmee je naar buiten verbindingen opzet, net als iMessage zijn dat interessante doelen voor kwaadwillenden. Die zaken kunnen bij Android dus zonder tussenkomst van beveiligingsupdates worden bijgewerkt. Dat heeft als bonus dat ookal komt een Samsung of wie dan ook niet meer met updates, deze patches wel altijd nog komen. Zodoende is dus een deel van de support op Android juist langer dan op iOS. Zeker op dit soort gevoelige vlakken.

Maar nogmaals mijn vraag was wat voor Apple het nadeel zou zijn om een iMessage of Safari een losse app te maken?

[Reactie gewijzigd door fapkonijntje op 26 juli 2024 05:07]

air2

@fapkonijntje • 18 augustus 2022 10:31

Dat is juist de sterkte. Ipv dat iedere app die de render engine gebruikt appart geupdate moet worden krijg je 1 update, die overigens een deel van het os patched en door apple uitgeven wordt. Veel beter dan 20 apps afzonderlijk updaten en maar hopen dat de maker überhaupt met een patch komt

pookie79 @air2 • 18 augustus 2022 11:00

Ipv dat iedere app die de render engine gebruikt appart geupdate moet worden krijg je 1 update

Dat is bij Android ook het geval hoor... De render engine zit daar ook niet in de apps (behalve de browser apps zelf natuurlijk) gebakken... En browser apps komen maandelijks (zo niet vaker als het om security gaat) met updates. Dus de "sterkte" dat je noemt is juist een zwakte; je moet dan langer op security wachten en die gelden ook voor alle apps want die kunnen zelf het niet direct patchen. (Bij Android ook niet maar browsers krijgen wel makkelijker en vaker veiligheid-updates)

[Reactie gewijzigd door pookie79 op 26 juli 2024 05:07]

Vibonacci @fapkonijntje • 18 augustus 2022 11:26

Helaas is dit een bewuste keuze van Apple. Ze willen alles direct aan hun OS koppelen, en daar lijdt de security van hun gebruikers onder.

Maar goed, door het forceren van WebKit op iOS, hebben alle iOS gebruikers permanent een outdated web experience, dus waar hebben we het over.

MikeL @fapkonijntje • 18 augustus 2022 13:49

Dit is vanaf iOS 16 verleden tijd. Nog een paar weken geduld

https://www.macrumors.com...security-fixes-automatic/

fapkonijntje @MikeL • 18 augustus 2022 22:19

Ik zie weinig verbetering. Het updaten kan misschien sneller maar de browser en andere apps zitten nogsteeds te diep in iOS om veilig te zijn.

MikeL @fapkonijntje • 18 augustus 2022 23:28

Aangezien Safari onderdeel is van iOS zou het zomaar kunnen dat ook kritieke Safari updates op deze manier doorgevoerd gaan worden?

fapkonijntje @MikeL • 19 augustus 2022 00:12

Aangezien Safari onderdeel is van iOS

Dat is het probleem. Niet sneller OS updates, dat is symptoombestrijding. Safari moet uit iOS en zo los mogelijk werken.

Meiklokje @fapkonijntje • 19 augustus 2022 07:26

Ook een zwakheid van dat hele ecosysteem is dat die bugs op ieder apparaat werkt en alles moet patchen wat je er van bezit. Bij android blijft die bug bij dat ene apparaat of het nu die telefoon of tablet is. En oudere iOS 12 apparaten krijgen geen updates meer.

Distrax1988 @fapkonijntje • 19 augustus 2022 13:40

Voor mij geen probleem of zwakte hoor, gewoon updaten of dit nou het OS is of een app, als dat allemaal nauw samen werkt heb je ook een betere security.

fapkonijntje @Distrax1988 • 19 augustus 2022 14:28

Voor mij geen probleem of zwakte hoor

Of iets feitelijk wel of geen zwakte is in een systeem, daar ga jij niet over en is ook geen mening. Feit is wel dat alle hacks van iOS apparaten van de afgelopen paar jaar allemaal binnenkwamen door Safari of iMessage.

als dat allemaal nauw samen werkt heb je ook een betere security.

En dat is dus helemaal fout. De realiteit is compleet het tegenovergestelde. Als alles nauw samenwerkt en verweven zit, dan zit je ook heel snel heel makkelijk binnen als er in één component een gaatje zit. En dat is nu juist de reden dat de veiligheid bij iOS (en ook macOS deels) de laatste paar jaar flink te wensen over laat. Een van de grote sprongen die Android en Windows hebben gemaakt de laatste paar jaar is juist het loskoppelen van onderdelen, dat chrome en andere browsers flink veiliger zijn geworden is juist ook omdat ze onderdelen los hebben gehaald van elkaar. We hebben historisch gezien hier harde lessen in geleerd, ook grotendeels bij Apple. Er zijn verschillende bugs geweest die Iphones volledig lieten crashen bij een iMessage bericht dat iMessage niet aankon, op andere besturingssystemen crasht dan alleen de app.

Wat jij zegt was de theorie rondom Windows XP, daar zijn we massaal op teruggekomen bij het bouwen van software de afgelopen 10 tot 20 jaar. Behalve Apple dan.

Alles verweven wat Apple doet is vooral voor gemak, veiligheid is het tegenovergestelde. Bij Android heb je na een exploit in de browser eigenlijk alleen de broeder. Je moet dus een keten aan exploits hebben voor je iets kwaad kan. Bij iOS is het risico groter, want na Safari zit je gewoon in het OS en kun je bijna alles. Er draait nu wel een soort zwakke sandbox omheen, maar die lijkt nog weinig te helpen.

[Reactie gewijzigd door fapkonijntje op 26 juli 2024 05:07]

laurens0619 @fapkonijntje • 20 augustus 2022 08:03

Ik snap je punt maar vanuit een beheerder rol is het wel makkelijk dat je maar naar 1 getal hoeft te kijken of het apparaat geupdate is

fapkonijntje @laurens0619 • 20 augustus 2022 10:28

Ja precies, laten we gewoon gemak boven veiligheid kiezen. Dat is wel een Apple dingetje natuurlijk.

Overigens wil ik geen stom nummertje, maar wil ik zien welke gaten (CVE's) er gedicht zijn. Een nummertje op zichzelf zegt niets.

ben2513 18 augustus 2022 09:07

Ik zou graag zo snel mogelijk willen updaten op mijn M1 Air, maar hij toont nog steeds geen nieuwe updates. Dus maar via de commandline proberen..

EDIT: Het is gelukt! Terminal openen, 'softwareupdate -l' uitvoeren en voila.

[Reactie gewijzigd door ben2513 op 26 juli 2024 05:07]

Keypunchie

Apple macOS
Apple
Beveiliging

@ben2513 • 18 augustus 2022 09:12

Wat doorgaans werkt op MacOS is om als je “geen updates” ziet om even op het knopje met "geavanceerde' instellingen te drukken (automatisch installeren etc) en als je dat window sluit, dan gaat ‘ie ook opnieuw checken.

Het lek zit overigens in WebKit, dus alle devices van Apple zijn kwetsbaar.

[Reactie gewijzigd door Keypunchie op 26 juli 2024 05:07]

Carlos0_0

Apple
Apple iOS

@Keypunchie • 18 augustus 2022 09:25

Inderdaad of even herstarten van device wil ook nog wel eens werken.

SlasZ @ben2513 • 18 augustus 2022 09:50

Voor iOS toont hij wel dat er een update is en je kan hem installeren maar had ik dit artikel niet gelezen dan was ik niet op de hoogte. Waarom pushed Apple geen bericht van zodra die beschikbaar is van 'ho, er is een belangrijke security patch die je moet installeren!'?

Benieuwd hoe lang het duurt eer iedereen op 15.6.1 zit, zijn daar cijfers van?

Onno 18 augustus 2022 09:42

Apple fixt lek in iOS 15.6.1 dat mogelijk actief misbruikt werd

Apple fixt in iOS 15.6.1 lek dat mogelijk actief misbruikt werd.

Het is geen lek in 15.6.1 dat gefixt is, 15.6.1 bevat juist de fix.

Fox Hound @Onno • 18 augustus 2022 09:48

"Apple fixt met iOS 15.6.1 lek dat mogelijk actief misbruikt werd" zou misschien nog wat duidelijker zijn inderdaad maar de meesten zullen het vast wel begrijpen.

Erik1337 @Onno • 18 augustus 2022 12:01

Voor dit soort zaken kan je terecht op het Feedback topic op het forum.

Loller1

Besturingssystemen

@Onno • 18 augustus 2022 13:05

Dat staat er toch? Apple fixt een lek, en dat doen ze in iOS 15.6.1.

Aalard99

18 augustus 2022 13:59

Wat ik raar vind is dat ik hier moet lezen dat er een kritieke patch is voor mijn iphone. Mijn telefoon geeft niet vanzelf aan dat er een patch staat te wachten terwijl automatisch updaten wel aanstaat.

Pas wanneer ik naar settings -> software ga krijg ik de melding dat er een nieuwere versie gedownload kan worden.

Waarom gaat dit niet vanzelf? Meer mensen last van?

vverbeke @Aalard99 • 18 augustus 2022 15:11

Omdat die patches gefaseerd worden uitgerold. Bij niet-kritieke updates kan het op iOS makkelijk twee weken duren vooraleer hij automatisch op je toestel komt.

Anoniem: 710428 19 augustus 2022 07:36

Ben direct aan het updaten naar iOS16, want toevallig gisteren heel veel fotos overgezet van pc naar iPhone en wil de duplicaten samenvoegen. Beta versie te vinden op beta.apple.com

Op dit item kan niet meer gereageerd worden.

Apple fixt met iOS 15.6.1 lek dat mogelijk actief misbruikt werd

Lees meer

Reacties (79)

Sorteer op:

Weergave: