Apple patcht actief misbruikte kwetsbaarheden in iOS en macOS

Apple heeft verschillende beveiligingsupdates uitgebracht voor zijn iOS-, iPadOS-, macOS- en watchOS-besturingssystemen. Deze updates lossen onder meer een zeroday op die hackers willekeurige code liet uitvoeren met kernelprivileges.

De kernelkwetsbaarheid betreft CVE-2023-32434, meldt Apple in zijn patchnotes. De kernelkwetsbaarheid kon zorgen voor een integer overflow en liet hackers willekeurige code uitvoeren met kernelprivileges. Deze is volgens Apple in de praktijk actief gebruikt op iOS-versies die voor 15.7 zijn uitgekomen. Apple vermeldt niet of de kwetsbaarheid ook is misbruikt op andere platforms, zoals macOS.

Apple heeft de kwetsbaarheid in kwestie nu opgelost in versies 16.5.1 en 15.7.7 van iOS en iPadOS. Het probleem is ook opgelost in macOS 13.4.1, 12.6.7 en 11.7.8. De bug zat ook in watchOS en is opgelost in versies 9.5.2 en 8.8.1 van dat besturingssysteem. Gebruikers wordt aangeraden om de updates te installeren.

De iOS- en iPadOS-updates lossen daarnaast een WebKit-kwetsbaarheid, CVE-2023-32439, op. Deze kwetsbaarheid kon een typeconfusionprobleem veroorzaken. Met speciaal gemaakte webcontent kon hiermee willekeurige code worden uitgevoerd. Ook deze kwetsbaarheid zou volgens rapporten actief zijn uitgebuit, stelt Apple. WebKit vormt de basis van alle webbrowsers op iOS en iPadOS, naast de Safari-browser voor macOS.

Kwetsbaarheid Opgelost in
Kernel (CVE-2023-32434) IOS 16.5.1 en 15.7.7
IPadOS 16.5.1 en 15.7.7
MacOS 13.4.1, 12.6.7 en 11.7.8
WatchOS 9.5.2 en 8.8.1
WebKit (CVE-2023-32439) IOS 16.5.1 en 15.7.7
IPadOS 16.5.1 en 15.7.7
Safari 16.5.1

Door Daan van Monsjou

Nieuwsredacteur

22-06-2023 • 08:24

51

Submitter: Verwijderd

Lees meer

Reacties (51)

51
51
15
0
0
18
Wijzig sortering
De zero-day is actief misbruikt op iOS-versies voor 15.7. Maar houdt dat dan in dat de latere versies niet, of minder kwetsbaar waren?
Ja, ik vond dat ook al opvallend.

Of het is ontdekt bij een specifieke groep gebruikers, die iOS 15.7 gebruikten.

Of in iOS 16 zit iets dat de specifieke vervolgstap lastiger maakt.

Aan de andere kant "arbitrary code' is "arbitrary code".

Wat ik ook nog kan bedenken is dat het wat cynisch gesteld is: iOS 16 kent "lockdown" mode. Dat het in die situatie niet te misbruiken is.

In ieder geval, goede reden om je devices up-to-date te houden.
Moet je lockdown wel aan hebben staan en mijn idee is dat weinig mensen dat hebben uit angst bepaalde features te missen.
Mee eens. De meeste gebruikers hebben dat niet aanstaan. (en terecht)

Maar dan kom je ook op risico-profielen. De exploits die Apple de laatste tijd patcht komen beetje over (maar dat is maar een gevoel) als hele 'high-value' exploits, het type dat de APT's in de achterzak hebben zitten.

Dus net iets geavanceerder dan het type exploit dat door malware/ransomware bendes gebruikt wordt.

Voor de "doelgroep" van de APT's is het dan wel weer waarschijnlijker dat ze 'lockdown mode' gebruiken.
Ik heb lockdown mode aan staan, maar je voelt het wel nog in de functionaliteit ja. Teams pakt alleen de eerste call goed op. Dan moet je vaak of zelfs atlijd de Teams app force closen en opnieuw openen om een volgende call gestart te krijgen, anders blijft ie hangen op 'connecting...' maar komt er nooit wat van.

Op meerdere websites zie je ook geen mooie vinkjes of andere web elementen meer staan, dat kan het lastig(er) maken om webformulieren te doorlopen, bestellingen te plaatsen, enzovoorts.

En dan zijn er nog wat andere apps en websites, naast de standaard beperkingen die Apple opsomt. Het is zeker niet voor iedereen, tegelijk is er als je nog wat andere devices ernaast hebt voor een paar van die onhandigheden, tot zover prima mee te leven nu al een paar maanden en het lijkt wel wezenlijk het beveiligingsniveau te verhogen, als je ziet waar je toestel dan niet meer in meegaat van wat apps en websites allemaal proberen te doen.

"When Lockdown Mode is enabled, some apps and features will function differently, including:"
https://support.apple.com/en-us/HT212650

[Reactie gewijzigd door OruBLMsFrl op 24 juli 2024 06:03]

Dat zou prima kunnen, iedere versie voegt wel een paar dingen toe die beter kunnen.
Zo kreeg iOS 14 de 'blast door' bescherming voor het veiliger kunnen verwerken van berichten en iOS 16 de 'lockdown' modus die bepaalde riskante code vermijdt (ten koste van gebruikers comfort en snelheid - het is opt-in, alleen aanbevolen voor mensen die weten dat ze een doelwit zijn).
En ook die maatregelen hebben bugs, maar het vermijden van hele klassen veiligheidsproblemen heeft meestal wel een positief effect op het algemene veiligheidsnivo ;)
Er staat dat het ook in versie 16.5 misbruikt werd (tenzij het artikel dat eerst niet vermeldde en later is aangepast) en vandaar dat versie 16.5.1 is uitgebracht.
De zero-day is actief misbruikt op iOS-versies voor 15.7. Maar houdt dat dan in dat de latere versies niet, of minder kwetsbaar waren?
Een subliminal reminder van Apple aan beheerders 😎
Gezien de waarschuwing over vermeende macOS-spyware, volgens Kaspersky die nog druk bezig is met onderzoeken.

https://securelist.com/tr...ngulation-implant/110050/

interessant is dat Kaspersky een rolling XOR algorithm geimplementeert heeft in Objective-C om de strings te decrypten. Dat lijkt mij om een grip op qemu te krijgen. Verdere features kan Kaspersky modulair implementeren met Mach-O executables.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 06:03]

Ik vind het wel jammer dat kaspersky niet genoemd wordt, volgens mij hadden zei het ontdekt
Kaspersky wordt wel genoemd:
CVE-2023-32434: Georgy Kucherin (@kucher1n), Leonid Bezvershenko (@bzvr_), and Boris Larin (@oct0xor)of Kaspersky
door apple maar niet door tweakers
Moeten ze er dan ook bij zetten dat de andere CVE door een anonieme onderzoeker is ontdekt? Wat voegt dat toe? Er staan netjes bronverwijzingen waar die info wel staat.

Artikelen zouden een beetje rottig weglezen als er veel en veel te veel informatie in staat. Gewoon kort en bondig, en degenen die meer info willen kunnen naar de bronvermeldingen.
Tweakers had er al eerder een artikel aan gewijd, specifiek aan dat Kaspersky dit vond, ik zag niet dat deze gerelateerd waren totdat het hier genoemd werd. Iets dat voor mij persoonlijk wel van meerwaarde had geweest. Ik zeg niet dat ze het hadden moeten doen, maar alleen dat het voor mij fijn was geweest om de relatie snel te leggen.
Ik vind het wel jammer dat kaspersky niet genoemd wordt, volgens mij hadden zei het ontdekt
door apple maar niet door tweakers
@Verwijderd
Goed punt. Maar er zijn zoveel zero days voor Apple:

nieuws: Apple brengt iOS 16.4.1 en macOS 13.3.1 uit met fixes voor zerodaybugs

nieuws: Apple brengt iOS 16.1 uit met fix voor zeroday

Googles Threat Analysis Group:
nieuws: Apple brengt opnieuw zerodaybugfix uit voor iOS 15 voor oudere iPhones

Welke (CVE's en tweaker artikel) refereren jullie naar?

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 06:03]

Ja maar niet hier in het artikel
Hier kun je feedback geven aan de redacteur: forum: Geachte redactie
als het actief misbruikt is... zal het wel niet door een security bedrijf ontdekt zijn :-)
Of bedoel je dat het misbruik door hen ontdekt is?
Dat is verder niet relevant voor het artikel.
Is dit niet waar de Apple Rapid Security Responses voor zijn bedoeld? Waarom word die hier niet ingezet maar is het een losse update? https://support.apple.com/en-us/HT201224
Ik vermoed omdat het hier een kernel patch betreft. In de regel heb je daar een herstart van het besturingssysteem voor nodig.
offtopic:
In de Linux kernel kun je het met een soort veredeld trucje ook zonder reboot doen, maar effectief moet je dan wel al je processen herstarten om zeker te zijn dat ze daadwerkelijk alle nieuwe kernel processen hebben ingeladen/gecachet, dus dat is meer bedoeld voor ontwikkelaars


Wat ik tot dusver van die APSR's heb gezien, is dat er na afloop geen volledige herstart plaatsvond, maar alleen herstart van de grafische interface en dan uiteraard van ook de betreffende onderdelen die zijn gepatcht.
Precies mijn gedachte.

Ik weet overigens niet uit mijn hoofd of ze ook iets van een bericht sturen als ze zo’n rapid fix uitvoeren. Wellicht is er in deze specifieke community een hoop geluid over deze zerodays en doen ze het via een reguliere update zodat iedereen op de hoogte is van de fix?
Wat zou kunnen is dat het zo is gedaan omdat ook devices die geen RSR ondersteunen kwetsbaar zijn.
New Rapid Security Responses are delivered only for the latest version of iOS, iPadOS and macOS — beginning with iOS 16.4.1, iPadOS 16.4.1, and macOS 13.3.1.
Wat zou kunnen is dat het zo is gedaan omdat ook devices die geen RSR ondersteunen kwetsbaar zijn.
[...]
New Rapid Security Responses are delivered only for the latest version of iOS, iPadOS and macOS — beginning with iOS 16.4.1, iPadOS 16.4.1, and macOS 13.3.1.
Doet me denken aan Android met Secure Lock Screen wat geen Smart Lock is. Samsung heeft daar een eigen implementatie van volgens mij.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 06:03]

iPhone 6s krijgt nog steeds patches zo blijkt!
Jammer dat iphone 6 updates krijgt
Minder kans dat er dan costum firmware komt,
Zie apple wel voor aan dat ze hun best doen dat er geen android draaiend komt op een iphone
Zullen ze vast niet leuk vinden, denk ik.
Maar je kan het ook zo bekijken, als je de update niet download, heb je er geen last van.
Voor de gewone gebruiker is een veiligheidsbatch voor een actief misbruikt lek toch wel erg prettig.
In the nineties, a simple integer overflow error was a significant reason for the explosion of a European Space Agency rocket that cost hundreds of millions of dollars.

Dan zouden we maar gewoon geen devices meer aan moeten schafen, maar lijkt me ook geen optie, als nog Denk dat apple zichzelf beschermd met updates
Off topic maar deze link wel interesting
https://youtu.be/AaZ_RSt0KP8
Toffe video! Thanks
Waarom klinkt de titel alsof dit zo verrassend is? Ik mag hopen dat iedere softwareproducent er zo in zit ;)
Hoe had de titel anders moeten zijn dan?
Volgens mij is het direct duidelijk wat Apple doet bij het lezen van het artikel right?
Apple patcht kwetsbaarheden die actief misbruikt worden

Maakt het een heel stuk duidelijker, want ook ik vatte de titel verkeerd op.

Edit: komma weggehaald

[Reactie gewijzigd door lonewolf2nd op 24 juli 2024 06:03]

Het is toch gewoon correct Nederlands.
Maar dan zonder komma ;)

<taalnazistand>
De titel is overigens volledig grammaticaal correct.
Iemand die hem anders interpreteert (dus dat Apple actief patcht) gebruikt de taalregels verkeerd. Als dat bedoeld werd, had er het volgende moeten staan:
Apple patcht misbruikte kwetsbaarheden in iOS en macOS actief.
actief is in deze een bijvoeglijk naamwoord (Simpel gezegd: het zegt iets over de misbruikte kwetsbaarheden)
</taalnazistand>

Maar goed. Even taalregels daargelaten. Het feit dat het niet volledig duidelijk was voor iedereen, zegt ook iets en was de zinkeuze misschien een beetje onpraktisch, want we nooit moeten vergeten: "Taal faciliteert communicatie en niet andersom"

Edit: typo's :|
Edit2: Ouch: @PCG2020 Thanks ;)

[Reactie gewijzigd door lenwar op 24 juli 2024 06:03]

<taalnazistand>
Het is 'als dat bedoeld werd' want het is een voltooid deelwoord ;)
</>

YW @lenwar O-)

[Reactie gewijzigd door PCG2020 op 24 juli 2024 06:03]

Vooral het woordje "actief" doet wat bijzonder aan. Alsof dit niet de standaard is.
Nou, het woordje actief slaat volgens mij meer op dat de bug actief misbruikt wordt, niet dat ze het actief gefixed hebben
Hahaha, je hebt helemaal gelijk. Ik heb de zin gewoon verkeerd gelezen 8)7
actief patchen of een actief gebruikte bug. Ik lees het niet, maar snap wat je bedoeld. We hebben er wel een apart topic voor :)
Ik denk dat er meer topic vervuiling is door mensen die zeggen dat er een ander topic is dan door mensen die geen topic gebruiken. O-)

[Reactie gewijzigd door MrMonkE op 24 juli 2024 06:03]

nvmd

[Reactie gewijzigd door henri8096 op 24 juli 2024 06:03]

Michael Knight Moderator Consumentenelektronica 22 juni 2023 09:30
Jammer dat er weer niks gezegd wordt door Apple over de vele batterijproblemen die na 16.5 ontstonden.
En nee, dit is geen algemene 'mijn batterij is opeens slecht'-post, maar er is uitgebreid op websites gepubliceerd over dit probleem.. Ik word steed sterughoudender voor het installeren van nieuwe updates. :(
Inderdaad. Waar ik sinds iOS 16.5 ook last van heb, is dat mijn telefoon volledig vast loopt en super warm word. Dit gebeurd soms wel tot 10 keer per dag, zelfs als er geen enkele app open staat. Je wilt 'm gebruiken en het scherm loopt gewoon direct vast.

Ook al contact met Apple over gehad, maar volgens hun is er niets mis met mijn toestel (remote tests gedaan)... heel teleurstellend.

[Reactie gewijzigd door Zworez op 24 juli 2024 06:03]

Je hebt het vast al gedaan, maar indien je dat nog niet het gedaan. Helemaal uitzetten en weer en weer aanzetten (dus niet een reboot, echt uit en aan). Dit heeft bij mij al meermalen dergelijke problemen met iOS opgelost.
Herkenbaar zit nog steeds in een reparatie proces. Bij mij werkt het alleen tijdelijk,l. Het treedt al op voor 16.5, en vooral reproduceerbaar na het opladen. Reset met en zonder backup geen effect. Apple repair zegt dat faceid "problemen" geeft en gerepareerd moet worden, faceid werkt wel gewoon en unlockt mijn iPhone gewoon. Camera crashed ook vaak.
Natuurlijk als je hem uit zet, heb je geen battery problemen :-).
Persoonlijk snap ik het verschil niet tussen reboot of uit/aan. Dan lijkt het toch dat bij een reboot enkele losse chips, wel met firmware, geen reset krijgen.
Ja, dat zou je zeggen, hè?
Ik zou het ook niet weten, maar ik weet ook niet hoe de bootcyclus van een telefoon eruitziet. 'Vroeger' had je op een pc de PRE, die de POST aftrapt. De PRE was harde code die niet veranderd werd, geactiveerd werd omdat er stroom op de chip kwam en had ook alleen maar als doel om de POST te starten die de rest van de hardware op aftrapt. (zo kon je met de oudere computers ook de BIOS-chip fysiek vervangen)

(Hoe het tegenwoordig met UEFI zit zou ik niet precies weten om eerlijk te zijn)

Technisch gezien kun je een reboot natuurlijk op verschillende niveaus doen. Dat zou ook slechts een herstart van een OS kunnen zijn, maar het kan ook een herstart van de hardware zijn, maar ook daar heb je verschillende lagen.

Het enige wat ik me in praktijk kan voorstellen, is dat bij een reboot niet altijd alle caches van alle chips worden geloosd en dat er om die reden iets kan blijven hangen. Maar onthoud. Ik ben geen hardwarespecialist, dus mogelijk is het volstrekt onzin wat ik zeg, hoor.
Gebruik je je telefoon voor digid, bankieren etcetc? Dan is het zeer aan te raden om nieuwe updates te installeren!
Gebruik je je telefoon voor digid, bankieren etcetc? Dan is het zeer aan te raden om nieuwe updates te installeren!
Je kunt tegenwoordig ook iOS-updates uitschakelen en alleen security patches laten toepassen.
Fijn dat Apple dit heeft gefixt!
Hier staat een beetje meer informatie dat deze vulnerability al jaren misbruikt wordt en wijd verspreid is. https://www.security.nl/p...mogelijk+ook+macOS-versie

Dit is dus een zeer kritische bug en ik adviseer iedereen dan ook om meteen te patchen.
Zelfs mijn Apple Watch 3 kreeg deze update, inmiddels 6 jaar oud. Lof aan apple voor het zo lang ondersteunen van mobile devices. Ik kan me herinneren dat Samsung het begrensde op 2 jaar na model introductie

Op dit item kan niet meer gereageerd worden.