Apple brengt iOS 16.4.1 en macOS 13.3.1 uit met fixes voor zerodaybugs

Apple heeft iOS 16.4.1 en macOS 13.3.1 uitgebracht. De updates verhelpen dezelfde twee zerodaykwetsbaarheden. Volgens Apple werden ze allebei actief uitgebuit en maakten ze het mogelijk om op afstand willekeurige code uit te voeren op de apparaten.

De kwetsbaarheden bevonden zich in IOSurfaceAccelerator en WebKit en worden respectievelijk CVE-2023-28206 en CVE-2023-28205 genoemd. De eerstgenoemde betreft een out-of-boundswritebug in de kernel van het besturingssysteem. Hiermee was het voor een kwaadwillige app mogelijk om willekeurige code uit te voeren met kernelrechten, schrijft Apple.

Door de tweede kwetsbaarheid kon het bezoeken van malafide webcontent, zoals websites of advertenties, ervoor zorgen dat er willekeurige code op het apparaat uitgevoerd werd. Apple laat verder weinig gedetailleerde informatie los over de bugs.

Naast de zerodaykwetsbaarheden lossen de updates nog een aantal kleine bugs op. Zowel de iOS- als macOS-update fixen een bug waardoor de huidskleurvariaties van een emoji niet getoond werden. Ook moet de iOS-update oplossen dat Siri in sommige gevallen niet reageert. Tot slot zou er een probleem verholpen zijn dat ervoor zorgde dat het ontgrendelen van de iMac met een Apple Watch in een aantal gevallen niet goed werkte.

Reacties (58)

PVDK007 8 april 2023 12:03

Ik heb totaal geen interesse om bugs op te zoeken dus heb ik er ook geen verstand van maar begrijp ik het nu goed: stel dat je de app Instagram hebt geïnstalleerd, je scrolt en je komt een vage advertentie tegen. Je klikt erop waardoor hij via insta's in-app browser een malafide site bezoekt. Kan dat bedrijf van de advertentie dan een willekeurige code op je telefoon loslaten en zo ja??? Wat kunnen ze ermee?

Meiklokje @PVDK007 • 8 april 2023 12:06

inbreken, je gegevens buit maken. malware en andere kwaadaardige code op een toestel waar jij je bankzaken en betalingen mee doet.

PVDK007 @Meiklokje • 8 april 2023 12:09

Maar dan moet het wel zo gaan zoals ik bovenstaand heb beschreven toch?

_JGC_ @PVDK007 • 8 april 2023 12:20

Je hoeft er soms niet eens op te klikken. Er zijn vaak genoeg advertentiesystemen gehackt of malafide banners met javascript erin ingekocht op dergelijke netwerken waardoor het simpelweg bezoeken van een site als nu.nl ervoor zorgt dat je toestel wordt geïnfecteerd. Dergelijke banners zitten ook gewoon in-app.

Meiklokje @PVDK007 • 8 april 2023 12:11

Ja dat is het probleem als er een open deur is, kan je eender welke link via een app je toestel infecteren.

PVDK007 @Meiklokje • 8 april 2023 12:17

Welke apps kunnen bijvoorbeeld gebruik maken van zo een bug? Instagram is de eerste die in mij opkomt namelijk maar als je er een paar weet, dan vermijd ik die met liefde

Frame164 @PVDK007 • 8 april 2023 12:26

Theoretisch kunnen alle apps dat. Bewust of onbewust.

Sandro! @PVDK007 • 8 april 2023 17:17

Dan kun je beter je telefoon helemaal uit laten staan. Over IOSurfaceAccelerator:

It is commonly used to allow applications to move complex image decompression and draw logic into a separate process to enhance security.

De CVE-melding is nog niet heel ver uitgewerkt, maar theoretisch zou iemand je dus een gemanipuleerde afbeelding kunnen sturen die, zodra jij hem opent, code draait op je telefoon.

Daarnaast: dít keer is het WebKit en IOSurfaceAccelerator, maar het kan natuurlijk zijn dat er in de Telefoon-app of Mail ook bugs zitten die tot RCE kunnen leiden, maar die nog niet gevonden zijn.

GertMenkel

Beveiliging en antivirus

@PVDK007 • 8 april 2023 18:10

Het risico is als volgt: je opent nu.nl in de browser. Die laadt een advertentie in met malware zoals best vaak voorkomt.

Je browser crasht. Criminelen kunnen nu namens jou betalen (als je Apple Pay hebt ingesteld), inloggen op Digid (als je de app hebt geïnstalleerd), en eventueel vanuit daar op jouw naam uitkeringen aanvragen op een vreemd adres. Mogelijk heb je een kopie van je ID in je foto's staan, daarmee kunnen ze natuurlijk nog veel meer.

Alles op je iCloud is nu toegankelijk voor de hackers. Als je aan sexting doet, kun je daarmee worden afgeperst. Je mail (en eventueel die van de werkgever) kan worden gelezen en kan zelfs worden misbruikt om de hack bijvoorbeeld je werkgever binnen te doen dringen.

Had je cryptocurrency op een veilige wallet op je telefoon staan, dan is dat nu weg. Alle tweefactorcodes in authenticator-apps en je sms'jes zijn leesbaar voor de hackers. Mogelijk is andere iCloud-authenticatie ook getroffen (FIDO2 als je dat gebruikt).

Het is allemaal maar de vraag wat er in de praktijk gebeurt, maar in feite is een kernel exploit op een telefoon in combinatie met een arbitrary code execution exploit in je browser genoeg om dit en nog veel meer uit te voeren.

In de echte wereld komen zulke hacks weinig voor. Ze zijn een risico voor mensen die het doelwit zijn van overheidhackers of een hele grote criminele bendes. Overheidsfunctionarissen, bekende cryptohandelaars en belangrijke zakenmensen lopen het vaakst risico.

Zolang je je apparaat updatet, is er normaal weinig aan de hand. Wil je extra veilig zijn dan heb je de lockdown-modus die wat extra beveiligingstrucs toepast waardoor veel exploits niet meer mogelijk zijn.

Zit je op iOS en denk je dat je misschien gehackt bent? Herstart je telefoon! Het is op iOS zelfs met kernelrechten erg lastig om een virus te installeren dat een herstart overleeft. Dit is ook waarom de "tethered" en "untethered" jailbreaks bestaan. Óf je telefoon herstart en het virus is geneutraliseerd, óf je telefoon weigert op te starten vanwege een corrupt OS. Dat laatste zou heel jammer zijn, maar je kunt er wel erger mee voorkomen.

ernstoud

@PVDK007 • 8 april 2023 12:08

Wat kunnen ze ermee? Nou… alles. Afhankelijk van de kwetsbaarheid, maar vaak met verhoogde rechten malware downloaden en installeren. Vrijwel altijd met als doel je credentials voor andere websites, elektronisch bankieren e.d. te stelen. Identiteitsfrade dus. Gelukkig is iOS redelijk tot goed beschermd tegen dergelijk onheil.

PVDK007 @ernstoud • 8 april 2023 12:15

Ik snap hem

Gelukkig installeer ik geen vage Chinese apps of dergelijke apps waar ik de afkomst niet van weet. Mensen noemen mij vaak ouderwets maar veel dingen doe ik nog handmatig of doe ik op de meest ouderwetse manier om dit soort dingen te voorkomen. Apps zoals DigiD gebruik ik totaal niet omdat ik het niet vertrouw. Als je met events nog fysieke tickets hebt, dan haal ik liever die dan digitaal.

Persoonlijk denk ik dat we ons veel meer moeten gaan loskoppelen van de telefoon en alternatieve oplossingen moeten zoeken waardoor je minder kwetsbaarheden krijgt. Sowieso op het gebied van identiteitsfraude. Mocht bijvoorbeeld identiteitsfraude voorkomen kunnen worden door je fysiek te laten zien op een locatie met een belangrijke uitvoering zoals het aanvragen van een ID, kaart of wat dan ook, dan doe ik dat graag. Ook al kost dat volgens sommige veel ''tijd''.

TheVivaldi @PVDK007 • 8 april 2023 20:15

Ik ben zeker met je eens dat niet alles digitaal moet, maar offline kan er ook genoeg misgaan. Een malafide postbode kan een greep in de postzak doen en weg is je overheidsbrief. En iets wat praktisch écht gebeurt: brievenbushengelen. En een fysiek ticket kan ook gestolen worden.

Dus ja, ik ben het gedeeltelijk met je eens, maar offline is de kans ook verre van nul.

Frame164 @PVDK007 • 8 april 2023 12:27

Deze site kan ook gevaarlijk zijn. Ik zou maar volledig offline gaan als ik jou was.

InjecTioN

@Frame164 • 8 april 2023 13:24

Ik denk dat men te naïef is bij het aannemen dat de enige dreiging uit China komt. Daarbij kan iedere app gehackt worden door het exploiteren van niet gepatchte kwetsbaarheden.

Een gemiddelde WordPress site is daar een goed voorbeeld van. Men klikt vaak allerlei add-ons erbij, om het beheren van de website en het opzetten van de website maar zo snel mogelijk af te kunnen ronden. Vaak zonder te kijken of de add-on nog onderhouden wordt. Wanneer dan een auto-updater aangezet wordt, zal er niet meer omgekeken worden naar de website, tot het fout gaat.

Dit gaat op de volgende punten vaak fout:
- add-on wordt niet meer doorontwikkeld en dus niet meer ge-update. Dus het is dan een kwestie van tijd totdat er worden kwetsbaarheden gevonden.
- Wanneer de kwetsbaarheden gevonden worden door een gemiddelde scanner-bot, die random website afgaat om deze kwetsbaarheden te vinden, dan is het vaak al te laat. Malware wordt geïnstalleerd en je bezoekers worden blootgesteld aan deze malware, die op zijn beurt ook weer gebruik kan maken van diverse kwetsbaarheden op een apparaat (van de browser en/of het besturingssysteem).

Wanneer zo'n website vaak bezocht wordt, zal de scope van het probleem natuurlijk een stuk groter kunnen worden.

Dit is slechts een van de vele voorbeelden van hoe een stukje malware heel simpel bij een website bezoeker schade aan kan richten. Dit wordt dan ook veroorzaakt door nalatigheid en heeft een kettingreactie als gevolg.

supersnathan94

Apple
Apple iMac
Apple iOS

@Frame164 • 9 april 2023 10:30

Het zou gevaarlijk kunnen zijn als Tweakers een 3rd party ad provider zou hebben die ongecontroleerd advertenties kan pushen.

Tweakers heeft echter een handmatige selectie en eigen hosting voor hun advertenties ZONDER tracking (anders dan een affiliate code die per campagne dan sitewide hetzelfde is en dus niet individueel traceerbaar).

Advertenties zijn in eigen beheer, handmatig gecontroleerd en contextueel. Dat maakt de kans op infecties direct miniscuul.

En ja het kan gebeuren dat de hele boel gehackt wordt en die ad server overgenomen wordt, maar als men daarop zit, heeft tweakers een groter probleem aangezien dan ws de site database ook gestolen is en men waarschijnlijk ook de hosting van de normale afbeeldingen kan aanpassen (en dus via die route iedereen infecteren ook met adblocker).

Dus ja. Kan gevaarlijk zijn, maar tweakers heeft er wel heel veel aan gedaan om het niet te zijn.

PVDK007 @Frame164 • 8 april 2023 12:43

Ik ben dat wel steeds meer aan het overwegen. Misschien dat meer mensen dat zouden moeten overwegen, dan komen we met zijn alle ook veel meer in beweging.

P. vd Loo @PVDK007 • 9 april 2023 12:20

Je hebt meer te vrezen van westerse apps dan chinese, zo blijkt uit het verleden. Maar we laten ons door de NOS vooral bang maken over China.

Aegir81 8 april 2023 12:20

Komt de bug dan niet voor op oudere versies van macOS?

webhalla @Aegir81 • 8 april 2023 13:02

Kunt U hier zien wat de laatst beschikbare update is voor de Apple software:
https://support.apple.com/en-gb/HT201222

Aegir81 @webhalla • 8 april 2023 14:11

Bedankt! 12.6.4 van 27 maart is de meest recente. Zelfde datum voor Safari.

austin_77 8 april 2023 14:43

Mijn vrouw hanteert: ‘ik update pas als ik een bericht van Apple zie in Instellingen’ (het ‘1’ doelt ze dus op). Terwijl ik erop hamer om zo snel mogelijk te update bij dit soort berichtgeving. Iemand input voor me om in de discussie mee te nemen?

erickov @austin_77 • 8 april 2023 16:13

Zit niks anders op. Je moet een andere vrouw zoeken 😜😂

austin_77 @erickov • 8 april 2023 17:38

LOL

Maar vraag me af hoe Apple hier policy op voert. Immers als de updates zo belangrijk zijn, zou je verwachten dat ze deze actiever pushen en dus de notificatie meer ‘opdringen’? Of redeneer ik te kort door de bocht?

[Reactie gewijzigd door austin_77 op 23 juli 2024 23:30]

GekkeRipper @austin_77 • 8 april 2023 19:46

Alle apparaten tegelijk updaten is ook risicovol. De update servers kunnen overbelast raken. En als er een andere ernstige bug in zit dan is het prettig dat die aan het licht komt als slechts een deel van de apparaten is geüpdatet. Daarnaast is Apple bezig om security updates als kleine updates aan te kunnen bieden in de toekomst. Nu is dat op iOS slecht geregeld waardoor updates enorm groot zijn en veel tijd kosten om te installeren.

jmvdkolk @austin_77 • 8 april 2023 19:58

Die notificatie van Apple kan soms weken op zich wachten. Het is verstandig als jouw vrouw naar Instellingen > Algemeen > Software-update gaat. Dan controleert de iPhone bij Apple of er een update beschikbaar is. Na die controle heeft jouw vrouw de '1' gekregen die ze graag wil zien.

Commendatore

@jmvdkolk • 8 april 2023 20:37

Op iOS en iPadOS heb ik zo'n notificatie zelfs nog nooit gezien. MacOS lijkt iets voortvarender te zijn.

[Reactie gewijzigd door Commendatore op 23 juli 2024 23:30]

jmvdkolk @Commendatore • 8 april 2023 23:10

Ik zie hem een heel enkele keer op de iPhone van mijn vrouw haar werk. Het lijkt erop dat sommige updates op dat toestel sneller gepushed worden.

iPhones en iPad zouden vanzelf updates moeten kunnen installeren. Ik denk dat mij dat al 2x is overkomen, dat één van mijn apparaten vanzelf 's nachts de update installeerde. Zelfs als het apparaat 's avonds zegt dat de update 's nachts geinstalleerd gaat worden, dan gebeurt het niet.

Commendatore

@jmvdkolk • 8 april 2023 23:29

Hoe lang na het uitkomen van de update was dat?

jmvdkolk @Commendatore • 9 april 2023 11:17

Volgens mij zijn automatic updates geintroduceerd in iOS/iPadOS 13, in 2019. De ene keer (op mijn iPhone 1x en op mijn iPad 1x) dat de update automatisch geinstalleerd werd was het gek genoeg de nacht direct nadat ik de 1 zag verschijnen bij instellingen. Ik heb als test vaak een aantal weken gewacht, maar zelfs na 4 weken waren de updates niet geinstalleerd.

Volgens Apple Support ligt het aan mijn Wi-Fi, die 's nachts niet goed zou werken. Maar ook als de update al gedownload is werkt de update niet. Apple weet het ook niet en de engineers maken weinig tot geen opties voor support om inzicht te krijgen in wat er mis gaat. Als het werkt, is het mooi, als het niet werkt, dan ben je in de aap gelogeerd.

Roel1966

@austin_77 • 9 april 2023 22:04

Voor zover ik mij kan herinneren moet je al echt naar Settings gaan maar zelfs daar heb ik nog eigenlijk nooit een melding gezien dat er een update beschikbaar is. Nu zou het ook zomaar kunnen dat ik dat zelf uitgeschakeld heb omdat ik altijd alles liever handmatig controleer. Dus ook als er nog geen melding hier op Tweakers staat check ik evenzogoed heel regelmatig zelf op updates.

Kafka 8 april 2023 13:41

Javascript heeft geen toegang tot de filesystem dus clicks op een banner op zich kan niet zo veel kwaad.

GertMenkel

Beveiliging en antivirus

@Kafka • 8 april 2023 18:16

Als iemand arbitraire code kan uitvoeren door WebKit te exploiten, heeft je browser wel degelijk toegang tot het bestandssysteem. De dagen dat je van Javascript direct naar kernelrechten ging zijn al een tijdje voorbij, maar aanvallen die meerdere exploits gebruiken (soms wel zeven of acht achter elkaar) zijn niet bepaald ongehoord.

Ik weet de details van de genoemde bugs natuurlijk niet, maar in theorie zou je met een combonatie van deze RCE en deze buffer exploit wel degelijk vanuit WebKit telefoons kunnen overnemen.

Overigens hoef je natuurlijk niet op banners te klikken om door malvertising gehackt te worden, dat risico loop je zodra de code wordt geladen. Als je JIT uitzet (onderdeel van lockdown mode) ben je wel significant beter beschermd tegen dit soort aanvallen, dus wil je niet updaten of klik je graag op shady links dan zou ik dat overwegen.

Dreamvoid @GertMenkel • 11 april 2023 09:10

Idealiter gebruik je noscript om Javascript volledig uit te schakelen, maar veel slecht ontworpen websites werken dan niet meer.

Dreamvoid @Kafka • 11 april 2023 09:12

Da’s de theorie, maar er zijn door de jaren heen al tientallen Javascript exploits geweest die filesystem en/of root rechten gaven - dat is nou juist het hele idee waarom we telkens security updates nodig hebben.

Sunrise 8 april 2023 22:06

Ik voel mij niet geheel veilig meer met mijn oude ios daarom ik heb de beslissing genomen om geen bankzaken en andere belangrijke zaken meer te verrichten op mijn oude ipad. Die ipad (pro 2017) kan gewoon updaten maar omdat deze een beetje end off life is en er niet veel positiefs qua performance te lezen is heb besloten dat ik niet meer updaten. Volgende tablet wordt een semi high end android. Voor gaming en youtube, ik wordt gek van de vele advertenties op ios youtube. Ik hou de ipad erbij om gebruik te maken van de aangeschafte software. (Daw's synthesizers etc, die stinken helaas op android zover ik weet)

[Reactie gewijzigd door Sunrise op 23 juli 2024 23:30]

jmvdkolk @Sunrise • 9 april 2023 14:45

Ik snap iets niet. Gaat het om een oude iPad of om een oude iOS? Het klinkt alsof je de iPad wel kan updaten en veilig gebruiken maar dat je kiest om dat niet te doen. Waarom update je hem niet? Ook al wordt dat wel eens beweerd, in mijn ervaring gaat de performance er niet op achteruit als je hem update.

Met een high end android wordt het lange termijn niet beter dan wat je nu hebt. Ook een high end android gaat langzamerhand langzamer worden en zal je moeten updaten om veilig bankzaken te blijven doen. Als je android fijner vindt dan moet je zeker overstappen. Veiligheid lijkt mij de verkeerde reden met de iPad die je hebt.

Zoals carlos0_0 ook al zegt, de android app van youtube gaat hetzelfde werken als de ios app. Je hebt daar niet minder advertenties.

vdws @Sunrise • 8 april 2023 23:22

Je kan een abonnement nemen op YouTube... Verlost je van de advertenties.

Carlos0_0

Apple
Apple iOS

@Sunrise • 9 april 2023 11:10

Op android ga je de zelfde advertenties hebben in Youtube, ja tuurlijk kan je een 3th party youtube app ofzo installeren.
Maar als je ergens veel gebruik van maakt kan je er ook voor betalen, dat begint bij 6,99 per maand en anders gewoon de advertenties slikken.

ernstoud

8 april 2023 11:46

Zero day bugs?

Die kreet had ik nog niet gehoord.

wmkuipers @ernstoud • 8 april 2023 11:54

Meestal is een CVE geen feature, uitzonderingen daargelaten.

ernstoud

@wmkuipers • 8 april 2023 12:05

Dat bedoel ik niet. In de security wereld is “zerodaybug” geen bekend begrip. Zeroday exploits of zeroday kwetsbaarheden noemen we zoiets.

Niet elke fout in software heeft als consequentie een kwetsbaarheid en andersom zal niet elke kwetsbaarheid door een software fout veroorzaakt worden.

Als ik in een applicatie vergeet na het openen van een bestand te checken of dat goed gegaan is, kan de applicatie bij een fout bij dat openen crashen. Dat is een bug. Is dat niet eerder ontdekt zou je dat een zeroday bug kunnen noemen. Maar de kreet “zeroday” is sterk verbonden met IT security en niet met dat soort bugs.

Zit al ruim 25 jaar in de security maar zeroday bug als begrip ken ik niet, vandaar.

wmkuipers @ernstoud • 8 april 2023 12:58

Als je al 25 jaar in de security werkt zou je het verschil tussen een "exploit" en een "kwetsbaarheid" moeten weten.

Eveneens dat het managen van stakeholders belangrijk is, richting je developers, richting je RvB/RvC. Stukje gatekeeping over de term "zerodaybug" is dan niet zo van belang, taal is veranderlijk

ernstoud

@wmkuipers • 8 april 2023 13:34

Zucht. Niet zo kwetsend, belerend, reageren a.u.b., ik heb het niet over verschil tussen exploit en kwetsbaarheid. Ik zeg dat dat bekende termen zijn en dat “zeroday bug” dat niet is. Althans niet in mijn wereld.

That’s all.

Meiklokje @ernstoud • 8 april 2023 12:03

Tot je apparaat eigen kuren vertoont, en dan ben je gehackt. Een telefoon of laptop met een eigen leven waar van alles op gedraaid wordt zonder jouw input. Leuk feestje.

Vorkie 8 april 2023 10:47

Deze update bevat belangrijke probleemoplossingen en beveiligingsupdates voor je iPhone, waaronder:

De emoji met duwende handen toonde geen variaties voor huidskleur
In sommige gevallen reageerde Siri niet

Sommige functies zijn mogelijk niet in alle regio's of op alle Apple apparaten beschikbaar.

Informatie over de beveiligingsaspecten van software-updates van Apple vind je op deze pagina:
https://support.apple.com/kb/HT201222

Boeshnl @Vorkie • 8 april 2023 11:14

Er zou is een update uit moeten komen dat Siri niet onnodig reageert xD

Fidesnl @Boeshnl • 8 april 2023 12:47

Wat ik bijzonder vind is dat Siri op eigen geproduceerd geluid van de iPad reageert.
Diverse keren al een filmpje gekeken op de iPad, in de kamer is het muisstil en opeens komt Siri naar voren met een zoekopdracht. Het zou toch moeten snappen dat het het geluid zelf produceert.

Carlos0_0

Apple
Apple iOS

@Boeshnl • 8 april 2023 11:20

Siri heeft nog nooit gereageerd bij mij, staat al sinds dag 1 volledig uit 😜.

poing @Boeshnl • 8 april 2023 11:42

Nooit problemen mee, maar hij staat wel in het Engels.

Boeshnl @poing • 8 april 2023 11:47

Denk dat een hoop scheelt. Collega's van mij hebben Siri op Nederlands staan.

jeroen1964 @Boeshnl • 8 april 2023 12:54

Dat zal inderdaad heel nodig zijn

Vinnie84 8 april 2023 18:55

Iemand een idee hoe het met iOS versie 15 gaat? Die valt ook nog onder support door Apple. Is deze versie niet geraakt hierdoor of is er gewoon nog geen fix?

Riddleman @Vinnie84 • 8 april 2023 22:22

De recentste versie van iPadOS 15 is 15.7.4 waarmee ook deze kwetsbaarheden worden weggewerkt.

Vinnie84 @Riddleman • 9 april 2023 07:04

Dank voor de aanvulling!

RAAF12 8 april 2023 20:40

De iPhone 7draait idd iOS 15.7 als je niet meer kan updaten naar een nieuwere versie houd het op. Support is een vage term als je niet meer kan updaten naar bijv. iOS 16 is je telefoon te oud. Nog wel prima bruikbaar maar je hebt geen bijgewerkt toestel. Als ik het niet begrijp moet je betere vragen stellen.

Beeldbuisje 9 april 2023 10:47

Wat ik me ook afvraag in dezen: toen iOS16 werd voorgesteld ging er toch een mechanisme ingebouwd worden zodat bij beveiligingsupdates niet het hele systeem zou hoeven geupdate worden?

Het voorbije jaar niks anders gelezen dan dergelijke beveiligingsupdates. Toch elke keer een hele systeemupdate.
Iemand die weet wat er hier niet goed gaat?

Op dit item kan niet meer gereageerd worden.

Apple brengt iOS 16.4.1 en macOS 13.3.1 uit met fixes voor zerodaybugs

Lees meer

Reacties (58)

Sorteer op:

Weergave: