Apple heeft verschillende beveiligingsupdates uitgebracht voor zijn iOS-, iPadOS-, macOS- en watchOS-besturingssystemen. Deze updates lossen onder meer een zeroday op die hackers willekeurige code liet uitvoeren met kernelprivileges.
De kernelkwetsbaarheid betreft CVE-2023-32434, meldt Apple in zijn patchnotes. De kernelkwetsbaarheid kon zorgen voor een integer overflow en liet hackers willekeurige code uitvoeren met kernelprivileges. Deze is volgens Apple in de praktijk actief gebruikt op iOS-versies die voor 15.7 zijn uitgekomen. Apple vermeldt niet of de kwetsbaarheid ook is misbruikt op andere platforms, zoals macOS.
Apple heeft de kwetsbaarheid in kwestie nu opgelost in versies 16.5.1 en 15.7.7 van iOS en iPadOS. Het probleem is ook opgelost in macOS 13.4.1, 12.6.7 en 11.7.8. De bug zat ook in watchOS en is opgelost in versies 9.5.2 en 8.8.1 van dat besturingssysteem. Gebruikers wordt aangeraden om de updates te installeren.
De iOS- en iPadOS-updates lossen daarnaast een WebKit-kwetsbaarheid, CVE-2023-32439, op. Deze kwetsbaarheid kon een typeconfusionprobleem veroorzaken. Met speciaal gemaakte webcontent kon hiermee willekeurige code worden uitgevoerd. Ook deze kwetsbaarheid zou volgens rapporten actief zijn uitgebuit, stelt Apple. WebKit vormt de basis van alle webbrowsers op iOS en iPadOS, naast de Safari-browser voor macOS.
Kwetsbaarheid | Opgelost in |
Kernel (CVE-2023-32434) | IOS 16.5.1 en 15.7.7 IPadOS 16.5.1 en 15.7.7 MacOS 13.4.1, 12.6.7 en 11.7.8 WatchOS 9.5.2 en 8.8.1 |
WebKit (CVE-2023-32439) | IOS 16.5.1 en 15.7.7 IPadOS 16.5.1 en 15.7.7 Safari 16.5.1 |