Apple dicht WebKit-zeroday in iOS, iPadOS en macOS

Apple heeft een kwetsbaarheid in WebKit gedicht in verschillende van zijn besturingssystemen, waaronder iOS, iPadOS en macOS. Het bedrijf is naar eigen zeggen op de hoogte van berichten dat deze kwetsbaarheid actief is misbruikt.

Apple bracht de patch uit als onderdeel van iOS en iPadOS 17.3, macOS 14.3 en tvOS 17.3, blijkt uit de patchnotes van de fabrikant. Volgens de techgigant gaat het om kwetsbaarheid CVE-2024-23222, die het mogelijk maakt om willekeurige code uit te voeren op een getroffen apparaat. Dat kan gebeuren als het apparaat in kwestie 'kwaadwillig ontworpen' webcontent verwerkt. Apple is naar eigen zeggen 'op de hoogte van een melding dat dit probleem mogelijk is misbruikt'.

De updates van Apple kwamen maandagavond uit. Naast de bugfixes en gedichte zeroday voegt Apple met de iOS 17.3-release een nieuwe Stolen Device Protection-functie toe. Apple kondigde die functie eerder al aan. Deze moet de persoonlijke gegevens van gebruikers beschermen als hun iPhone wordt gestolen.

De nieuwe feature verplicht gebruikers onder andere hun identiteit te verifiëren met Face ID of Touch ID als ze opgeslagen wachtwoorden in iCloud Keychain willen bekijken. Er wordt ook een wachtperiode van een uur toegevoegd wanneer gebruikers hun Apple ID-wachtwoord of iPhone-pincode willen aanpassen of nieuwe Touch ID- of Face ID-credentials willen instellen. Die wachtperiode geldt als het toestel zich op een onbekende locatie bevindt en dus niet wanneer de iPhone thuis of op kantoor wordt gebruikt. Apple voegt daarnaast colaborative playlists toe aan iOS 17.3 en macOS 14.3, waarmee Apple Music-gebruikers een gedeelde playlist kunnen maken.

Apple iOS 17.3 Stolen Device Protection — Stolen Device Protection in iOS 17.3. Afbeelding: Apple, Wall Street Journal

Reacties (31)

Snow_King

23 januari 2024 15:52

Ook hier het vermelden waard: De Stolen Device Protection-functie staat niet automatisch aan!

Deze moet je onder Instellingen -> FaceID nog zelf even aanzetten.

(Ook in app groepen mensen van deze instellingen op de hoogte gebracht)

NTAuthority

@Snow_King • 23 januari 2024 16:00

Ook hier het vermelden waard: De Stolen Device Protection-functie staat niet automatisch aan!

Normaal gesproken vraagt iOS nadat je de update geïnstalleerd hebt of je deze functie aan wil zetten, maar als je hier overheen leest of meteen klikt op 'overslaan' is het inderdaad handig om dit na te kijken.

fretnn @NTAuthority • 23 januari 2024 16:06

ik heb deze vraag niet gekregen, of krijg je die enkel als je van iOS 16.X naar 17.3 gaat ?

NTAuthority

@fretnn • 23 januari 2024 16:42

Ah. Ik gebruikte de bètaversies van 17.3 en daarin werd ik toen ik vanaf een eerdere versie van 17.3 naar de uiteindelijke versie ging wel hierom gevraagd. De screenshot bij het artikel komt ook vanuit die vraag, omdat je dit scherm niet krijgt als je de beveiliging handmatig aanzet in de instellingen.

moniker @fretnn • 23 januari 2024 20:37

Ik ook niet!

Snow_King

@NTAuthority • 23 januari 2024 16:19

Evenals @fretnn heb ik deze vraag niet gekregen bij de update vandaag.

pe0mot @NTAuthority • 23 januari 2024 17:28

Helaas vandaag deze vraag niet gezien bij het opstarten.

Hann1BaL @NTAuthority • 23 januari 2024 17:47

Na de update kwam de vraag niet in beeld.

Ook vind ik het vreemd dat iPadOS 17.3 diezelfde feature niet heeft. Ik wil mijn gestolen iPad ook best op dezelfde manier beschermen. Uiteraard is de diefstal kans wat kleiner, want minder vaak mee onderweg dan de telefoon, maar het lijkt mij toch weinig moeite om de optie te bieden voor iPad-gebruikers.
Gemiste kans

laptopleon @NTAuthority • 24 januari 2024 11:29

Blijkbaar krijg je deze vraag niet, ik iig niet net bij de 17.x -> 17.3 update.

Ook komt deze functie niet naar voren als je zoekt op 'Stop Device Protection' op mijn op Nederlands ingestelde iPhone. Wel als je zoekt op 'Bescherming voor gestolen apparaat'. Misschien interessant om te vermelden bij het artikel, @AverageNL?

Vinnie.1234 23 januari 2024 15:54

Het kan aan mij liggen, maar er zitten wel erg vaak zeer kritische beveiligingslekken in WebKit. Als ik even terugzoek kom er ongeveer om de maand een patch uit voor WebKit met een ernstige kwetsbaarheid... En vaak worden ze ook nog actief misbruikt ook. En dit zie ik niet vaak terug bij bijvoorbeeld Android of Windows. (Al kan het komen dat dit niet gemeld wordt)

GertMenkel

Beveiliging en antivirus

@Vinnie.1234 • 23 januari 2024 16:24

Iedere browser heeft dat. Het verschil tussen bijvoorbeeld Android en iOS is dat bij Android de browser gewoon als app wordt bijgewerkt, waar bij iOS de keuze is gemaakt de browser een onderdeel te maken van het besturingssysteem zelf.

Chrome updatet zo'n beetje elke week en maandelijks zitten daar zerodays bij in. Die vallen alleen minder op omdat er hooguit na een herstart een keer een versienummertje verandert, waar bij iOS een volledige upgrade nodig is met notificatie en al.

Ook zitten veel van die fixes toevallig bij feature-releases, zoals hier bij een diefstalpreventiefeature die tegelijkertijd wordt uitgerold met een beveiligingsupdate. Op alle andere platformen zijn dit twee losse updates voor twee losse features, maar op iOS is dit gekoppeld.

Het voordeel van al die updates is dat het goed duidelijk is dat Apple iOS veel onderhoudt. Het nadeel van al die updates is dat het goed duidelijk is hoeveel onderhoud Apple wel niet aan iOS doet. Ik zou me er niet al te druk om maken, WebKit, Chrome, en Firefox lopen volgens mij aardig gelijk op als je kijkt naar zerodays.

Arckedo @GertMenkel • 23 januari 2024 17:58

Sinds iOS 16 heeft Apple de "Rapid Security Response" functionaliteit aan het OS toegevoegd, waarmee on-the-fly patches zonder hele OS-updates ook mogelijk zijn geworden: https://support.apple.com/en-us/102657

jcbvm

@GertMenkel • 23 januari 2024 22:27

Vergeet niet dat WebKit niet alleen in Safari gebruikt wordt. Heel veel apps van Apple maken ook gebruik van WebKit. Net zoals webview veel gebruikt wordt in Android. Een lek in WebKit heeft dus meer gevolgen dan alleen in de browser zitten

Llopigat @GertMenkel • 24 januari 2024 02:40

waar bij iOS de keuze is gemaakt de browser een onderdeel te maken van het besturingssysteem zelf.

En andere rendering engines worden geweerd uit de appstore waardoor je niet bijvoorbeeld Firefox kan gebruiken.

Ik zou me er niet al te druk om maken, WebKit, Chrome, en Firefox lopen volgens mij aardig gelijk op als je kijkt naar zerodays.

Dat is wel zo maar met een marktaandeel van zo'n 5% zou ik die op Firefox een stuk minder in het wild verwachten.

En niet elke zeroday is natuurlijk een complete remote code execution vulnerability.

[Reactie gewijzigd door Llopigat op 23 juli 2024 10:18]

lenwar

Apple
Apple iOS
Beveiliging en antivirus

@Vinnie.1234 • 23 januari 2024 16:02

https://www.wired.com/sto...y-issues-critical-update/
Ik denk dat de Android zero-days wat minder uitgelicht worden. (zie overzichtje van vorig jaar, van meerdere browsers. Negeer even de clickbait-titel

)

https://www.helpnetsecurity.com/2024/01/17/cve-2024-0519/
Dit was de eerste Zero-day van Chrome dit jaar

Het blijft in de praktijk altijd een ding met browsers. Browsers zijn tegenwoordig 'halve besturingssystemen' (zwaar gechargeerd natuurlijk). Dus het is redelijk 'logisch' dat er regelmatig ernstige fouten in gevonden worden.

Vinnie.1234 @lenwar • 23 januari 2024 16:09

Dat zal het wel verklaren dan, het viel mij gewoon op dat ik heel vaak WebKit lees. Dat er veel gefixt wordt is alleen maar goed natuurlijk, maar als WebKit veel meer problemen heeft dan bijvoorbeeld er dingen in Chrome gevonden worden zou het voor Apple misschien is handig zijn over te stappen naar een alternatief (of opnieuw te beginnen

)

cornedor @Vinnie.1234 • 23 januari 2024 16:21

> (of opnieuw te beginnen

)

Dat zorgt er ook voor dat al die fouten opnieuw gemaakt kunnen worden

sfranken @Vinnie.1234 • 23 januari 2024 17:27

Welke engine denk je dat chrome gebruik? Nu is het een andere, maar Blink is een (soft) fork van WebKit

Frame164 @Vinnie.1234 • 23 januari 2024 21:22

De halve wereld (of meer) gebruikt het, dus is het ook weer niet zo gek dat er superactief wordt gezocht naar vulnerabilities.

laptopleon @Vinnie.1234 • 24 januari 2024 12:08

Het blijft alleen altijd totaal onduidelijk wat 'actief misbruikt' dan inhoudt.

Ik vermoed dat het in de praktijk extreem zeldzaam is aangezien er vaak extreem specifieke omstandigheden / randvoorwaarden nodig zijn. Dat het alleen werkt als er een memory overflow wordt veroorzaakt met het geluid uit bij het afspelen van een video bij volle maan in een schrikkelmaand, als er een whatsappje binnenkomt terwijl je aan het opladen bent.

himlims_ 23 januari 2024 16:23

hardstikke leuk die apple updates; maar werkelijk bij -iedere- update (wanneer deze klaar staat - maar nog niet geïnstalleerd is) zorgt dat ervoor dat mijn alarm/wekker geen geluid meer maakt. Tot de update daadwerkelijk geinstalleerd is. dat issue is al sinds iphone8!!!! hoe dan?

Carlos0_0

Apple
Apple iOS

@himlims_ • 23 januari 2024 17:56

Geen idee maar ik update niet in de nacht, of doe direct als ik het zie en anders even volgende dag overdag.
Niet dat goed is verder dat hij niet zo werkt, maar zo kan je ook doen ?.

himlims_ @Carlos0_0 • 23 januari 2024 17:58

Ik weet niet wanneer Apple een update klaar zet. Het is niet zo dat ik m parkeer - is er een update, installeer ik deze direct.

Maar als ik dit niet weet, geen melding heb gehad maar er is toch een update beschikbaar; dan werkt de wekker niet! (wtf)

Carlos0_0

Apple
Apple iOS

@himlims_ • 23 januari 2024 19:40

Ik zie ook niet altijd de zelfde avond, maar bij mij installeert die hem ook niet van zelf in de nacht.
Maar dat komt wellicht omdat ik het onzinnig vind de telefoon de hele avond/ nacht aan de lader te hebben, ik doe dat wel voor slapen al effe een uurtje als nodig(en anders de volgende dag).

Dan heb ik ondertussen ook wel ergens gelezen er een update is, dus kan die de update even een keer overdag doen

.
Je kan tevens ook automatisch updates uitzetten, dan doet die pas wanneer jij wil.

Instellingen —> algemeen —> software update —> automatisch updates uitzetten.

himlims_ @Carlos0_0 • 23 januari 2024 22:09

Klopt - maar dat is het issue niet,

Probleem is als Apple aangeeft dat er een update is voor jouw telefoon (auto install uit). Er op de achtergrond iets gebeurd waardoor alarm/wekker volgende dag niet functioneert.

Mijn vrouw heeft dit, en met enkele vrienden geverifieerd. Gemeld bin apple support a maar niet indruk dat er een ticket gemaakt is ofzo

laptopleon @himlims_ • 24 januari 2024 10:50

Je kunt dat zelf aan/uitzetten, of ie 's automatisch mag updaten. Dus misschien beter om dat gewoon uit te zetten, want dat doet ie inderdaad 's nachts.

Tintel 23 januari 2024 17:05

(wrong post)

[Reactie gewijzigd door Tintel op 23 juli 2024 10:18]

Elaborate8455 23 januari 2024 17:41

Hopelijkt kan hiermee een jailbreak gemaakt worden!

Carlos0_0

Apple
Apple iOS

@Elaborate8455 • 23 januari 2024 17:55

Hopelijk niet laat maar lekker weg blijven

Elaborate8455 @Carlos0_0 • 24 januari 2024 09:17

Hoezo? Je kan er toch gewoon voor kiezen om hem niet te gebruiken en je iOS te updaten? Het zal sowieso alleen werken op oude iOS versies.

remark 24 januari 2024 14:54

Kreeg gisteren bij het installeren van macOS 14.3 op een Mac Mini (M1, 2020) een hangend zwart
installatiescherm met wit Apple-logo en de voortgangsindicator op ongeveer 10%. De pointer reageerde nog op muisbewegingen, verder gebeurde er heel lang niets. Na ongeveer een uur de Mac opnieuw gestart, daarna ging de installatie verder en werd goed afgerond.

Op dit item kan niet meer gereageerd worden.

Apple dicht WebKit-zeroday in iOS, iPadOS en macOS

Lees meer

Reacties (31)

Sorteer op:

Weergave: