Apple brengt eerder updates uit vanwege snellere exploits

Apple gaat beveiligingsupdates eerder uitbrengen, omdat kwaadwillenden tegenwoordig steeds sneller exploits maken voor gevonden lekken. Daarom komen er meer losse updates in plaats van ze te bundelen in grote updates die af en toe verschijnen.

Met deze stap wil Apple zich aanpassen aan de nieuwe realiteit van kwaadwillenden die via AI lekken exploiteren, meldt Reuters. Hoewel er geregeld aparte beveiligingsupdates kwamen voor Apple-besturingssystemen, zaten de meeste fixes tot nu toe in de grote upgrades, bijvoorbeeld iOS 26.5. Dat verandert vanaf nu, zegt het bedrijf.

De wijziging moet de tijd verkorten tussen het moment dat een lek openbaar wordt en apparaten van Apple de fix krijgen. Daar zit nu weken tot een maand tussen en soms langer. Dat wordt een risico, omdat exploits maken op basis van bekende lekken makkelijker is dan voorheen door de komst van in cyberbeveiliging gespecialiseerde AI.

Andere fabrikanten hadden de beveiligingsupdates al eerder losgekoppeld van de grotere software-upgrades. Android krijgt maandelijkse beveiligingsupdates. Het is onduidelijk of dat zo blijft, want ook daarbij zit enige tijd tussen het openbaar worden van een lek en de komst van een fix.

Liquid Glass, WWDC25. Bron: Apple

Door Arnoud Wokke

Redacteur Tweakers

30-06-2026 • 20:20

39

Submitter: Chocoball

Reacties (39)

Sorteer op:

Weergave:

Fijn dat Apple dit nu doet. Uiteraard lastig(er) voor de gebruikers, maar fijn dat ze het nu zo oppakken. Ik hoor van meerdere bedrijven dat ze hun systemen tegenwoordig wekelijks of vaker patchen. (uiteraard met alle gevolgen van dien voor beschikbaarheid van systemen.)

Enerzijds triest dat het nodig blijkt, maar wel een fijn idee dat dit nu opgepakt wordt.

Nu dit in zo'n stroomversnelling raakt, denk ik zelf dat er ook bedrijven zijn die meer in containers gaan proberen te plaatsen. (waar mogelijk.) Dus niet meer patchen, gewoon een nieuwe node/installatie opbouwen en de oude uitzetten/verwijderen. Puur afhankelijk van (de opzet van) de applicatie/het systeem, kan dit sneller zijn dan patchen.
Van een hele andere orde: een grote klant van ons wil dat wij iedere 2 weken met patches komen i.p.v. in maintenance pakketten per kwartaal. In ruil daarvoor beloven ze dat zijn ook alles (en ze hebben een heel groot IT landschap) laten patchen, waar wij dan weer voor betaald krijgen. In het verleden was iedere upgrade/update weer een onderhandeling om een project te verkopen, nu krijgen we een vast bedrag per jaar waar we al het werk voor doen.

Zo zie je maar: goed omgaan met securitypatches kan ook gewoon geld opleveren. Als meer bedrijven zo gaan werken dan verwacht ik dat we flinke sprongen kunnen maken qua veiligheid.
Goede zaak maar mag je ook kritische updates pushen? 1 maal per kwartaal patchen lijkt me foute bingo maar tweewekelijks is ook niet erg rap.
In grote bedrijven zit je vaak met maintenance windows. Je kan systemen niet zomaar tijdens de werkdag neerhalen voor onderhoud. Dat gebeurt vaak in het weekend. Dan ben je ineens al beperkt tot gemiddeld 4 momenten per maand waar je het kunt doen.

En ik verwacht daar waar je een HA cluster hebt, dat je niet moet wachten op zo een window maar op elk moment, na testing en goedkeuring, kunt gaan patchen.
Zie Citrix netscalers, als daar wat mee is meteen patchen. En hopen dat je HA het doet en overleefd.
Als het voorheen per kwartaal was dan wil dat zeggen dat er ofwel een verandering in leadership is gebeurd met nu iemand die meer inzet op preventief onderhoud om problemen te voorkomen danwel dat er op een gegeven moment een beveiligingsincident is geweest.

Want je gaat niet uit het niets vragen om van 1x om de 3 maanden te patchen 🫣naar 2x per maand.
Dan moet de software die de node gebruikt wel gepatched zijn, anders heb je er alsnog niks aan.
Ja, dat was wel een beetje impliciet. :)

Dus nieuwe node opbouwen met de gepatchte software, omswitchen naar die node, en de oude uitzetten.

Dit gaat dan sneller dan: "Software stoppen, systeem patchen/rebooten, Software starten". Je bent met de eerste optie wel 'iets langer' aan het draaien met de ongepatchte software, maar dat kan een afweging zijn. (Afhankelijk van de aard van het systeem is het één of het ander een beter idee. Er zijn tenslotte meerdere lagen van beveiliging. Niet alleen de software zelf.)

En nogmaals. Het moet wel überhaupt mogelijk zijn met de betreffende software.
Het hoeft niet lastiger te zijn voor gebruikers, veel updates kunnen zonder een systeem compleet te herstarten in de achtergrond gebeuren, en moet er toch herstart worden is dat mogelijk te plannen. Er zit wel werk aan dat in te richten, maar het kan technisch al op bijvoorbeeld linux distributies.

Verder verwacht ik dat de beveiliging ook gaat veranderen met een beschermende laag die zoals een web applicatie firewall zaken kan detecteren en tegenhouden totdat er een update geïnstalleerd is.
Klopt. Rebooten is niet theoretisch niet altijd noodzakelijk. Echter :)

Stel dat je een patch hebt voor een één of andere library. Laten we zeggen libssl. Dan moet alle software die gebruik maakt van die library herstart worden. (want anders draait het proces nog met de oude (lekke) versie van de library in memory. Sterker nog. Afhankelijk van hoe 'groot/impactvol' de patch is, kan het zelfs voor problemen zorgen als de ene helft van een applicatie met de oude versie en de andere helft van een applicatie met de nieuwe versie draait (onwaarschijnlijk, maar niet onmogelijk.) Je moet dan per draaiend proces kijken of ze de gepatchte library gebruiken. Kan uiteraard. Technisch niet zo'n probleem, kan zelfs geautomatiseerd, maar het is wel gedoe en potentieel foutgevoelig.

En als je dan toch al, vrijwel al je services moet doorlopen en herstarten, dan kun je net zo goed de machine rebooten. (met fysieke hardware kan dat lang duren, maar met de meeste VMs is dit prima te doen.) (N.B. Uiteraard alle uitzonderingen daar gelaten.)
Uiteraard lastig(er) voor de gebruikers, maar fijn dat ze het nu zo oppakken.
Hoeveel last zouden gebruikers hiervan moeten hebben?
Als Apple nu iedere week patches gaat uitbrengen, dan is dat invasiever/zichtbaarder dan wat het nu is. Nu zijn verreweg de meeste updates kleine feature updates en functionele bugfixes met security updates. (Dus je kreeg ook wat functioneels erbij, wat ‘leuk’ kan zijn. Security updates zijn ‘saai’.)

Je telefoon vaker rebooten. zeker wanneer hij bijna vol is, kan dat niet fijn zijn. (Dan duurt het allemaal wat langer.)

Niets wat onoverkomelijk is, en de beleving zal per persoon verschillen natuurlijk.
Je telefoon vaker rebooten. zeker wanneer hij bijna vol is, kan dat niet fijn zijn. (Dan duurt het allemaal wat langer.)
Hoe lang het duurt maakt toch weinig uit, als het bijvoorbeeld 's nachts gebeurd?
Je wilt niet 's nachts automatisch herstarten, al zeker niet als er een PIN op je SIM kaart staat. Dat betekend namelijk dat vanaf de reboot totdat je 's ochtends die PIN kunt ingeven je onbereikbaar bent. Het is ook de reden waarom wij via MDM de iPhones updaten om 19:00, zodat mensen nog niet aan het slapen zijn. Willen ze het toch 's nachts dan moeten ze handmatig updaten voordat de deadline verloopt.
Je wilt niet 's nachts automatisch herstarten, al zeker niet als er een PIN op je SIM kaart staat.
Is 's nachts updaten niet de default voor in ieder geval iPhones? En onthoudt de telefoon die pin niet gewoon?
Wel een goed punt.

[Reactie gewijzigd door Olaf van der Spek op 1 juli 2026 08:12]

Precies, bij automatische installatie heb je bij een iPhone geen interactie met de gebruiker om deze weer up- and running te krijgen.
Wij zijn daar nu intern in ons bedrijf ook naar aan het kijken, of wij niet een manier kunnen vinden om korter op de bal te spelen met onze patches. Momenteel moet om ons product gepatcht te worden het volledig worden geherinstalleerd, inclusief remote componenten.
Even ver vooruitkijkend: als deze trend zich doorzet, kunnen we in de toekomst dagelijkse updates tegemoet zien.
Absoluut. Ik vind zerodayclock.com een interessante. Prognose 2027: 1 uur tot mogelijk 1 minuut voor kwetsbaarheid tot exploit.
Dan zit ik klaarblijkelijk al in je verre toekomst. Ik draai zelf Fedora, en daar komen dagelijks (security) updates binnen. Ik installeer die aan het einde van de dag, net voor ik mijn PC/laptops uitzet voor het naar bed gaan.
Fedora zelf of de dependencies? Lijkt mij nogal een verschil in denkwijze waarmee je rekent.

Stel je hebt een product met 365 dependencies die allemaal 1 keer per jaar een update krijgen. Of 3650 dependencies die 1 keer per 10 jaar een update krijgen. In beide gevallen kom je gemiddeld op 1 update per dag.
Dat staat er dan weer niet bij bij de updates. Alleen pakketnamen, maar ik ga uit dat het een combinatie is van beide.
Of eigenlijk een soort 'continuous patching'. Alleen dan niet zo zeer 'patchen' in de klassieke vorm (updates installeren), maar met een (kernel-)driver/software-plugin die malafide gedrag blokkeren. Dus stel dat er een exploit in een stuk middleware, of een applicatie op een stuk middleware, dat er dan een (pseudo)driver ertussen gaat zitten die de bekende aanvalsvectoren blokkeert of opschoont, zolang er nog geen definitieve patch is (geïnstalleerd).

Dit kan in elk geval werken voor remote-exploits. (dus dat de driver tussen het einde van de TLS-tunnel en de rest van de applicatie gaat zitten.) (in Web Application Firewalls als onderdeel van de IPS).

Er zijn al meerdere bedrijven die dit soort diensten aanbieden, maar het begint er op te lijken dat dit soort diensten bijna een verplicht iets worden.

(( voor degenen die er op willen zoeken. Bedrijven lijken het mechanisme "Virtual Patching" te noemen. Bedrijven als TrendAI, TXOne Networks, Solarwinds, en Palo Alto bieden dit soort diensten (in verschillende contexten en breedtes aan ))
Alleen maar goed. Vrijwel alles is toch altijd online, dus er is ook geen reden om het niet te doen. Hoogstens vervelend als je een keer langere tijd offline bent geweest en je krijg ineens 2 weken updates vlak voordat je je laptop uit wilt zetten...
"Vrijwel alles is toch altijd online"
En dat is precies de reden dat er zoveel exploits zijn.
De vanzelfsprekendhet dat alles maar met internet moet verbinden is just het probleem. Daar moeten wel veel kritischer naar zijn.
Vroeg of laat gaat zo'n snelle patch voor foutmeldingen zorgen of erger... QA is moeilijk onder tijdsdruk.
Dat is ook een kwestie van op een andere manier gaan werken. Als je op de traditionele delivery manier blijft werken krijg je inderdaad QA problemen. Ik weet ook nog niet hoe je dat anders moet inrichten, maar we leveren nu ook al veel sneller nieuwe software dan in het verleden zonder aan kwaliteit in te boeten. De grootste uitdaging is om mensen zo ver te krijgen dat ze stoppen met "zo doen we het altijd". Maar dat is standaard bij alle veranderingen.

[Reactie gewijzigd door R_Zwart op 30 juni 2026 21:13]

De kwaliteit die je inboet is dat je software met hogere frequentie blind installeert. Dat gaat een tijdje goed tot de boel een keer goed in de soep loopt en dan kan je als MSP weer het boetekleed aantrekken want de spof omgeving van klant met geen budget ligt er weer eens uit. Super gechargeerd natuurlijk, maar dat is wel hoe ik veel MSP'ers met de toenemende druk zie omgaan.
<quote>...zonder aan kwaliteit in te boeten</quote>

Sure? Juist he continues delivery model/agile lijkt een tijd goed te gaan maar na jaren doorbouwen komen er vaak wel scheuren aan het licht....
Apple bracht ook updates uit voor FCPX, Compressor, Pages, Numbers, Motion,
Fijn dat ze hier werk van (moeten) maken. Hopelijk splitsen ze de patches ook op zodat je beveiligingsupdates vol vertrouwen geautomatiseerd kan installeren los van feature updates.

Op bijv. Debian is dit al decennia normaal.
Opvallend, want een paar jaar geleden werd Rapid Response geïntroduceerd: nieuws: Apple brengt Rapid Security Response-beveiligingsupdates uit

Naar mijn weten zijn er weinig updates via deze weg uitgebracht. Al kan ik wel begrijpen dat niet alle updates via deze weg gaan, maar weet niet uit mijn hoofd exact hoe dit werkt.
Halen we nu 2 dingen door elkaar?

https://support.apple.com/en-us/102657

Laatste update via deze weg is in Maart 2026 geweest: https://support.apple.com/en-us/111333
Ja en nee, namelijk hebben beide de functionaliteit in beveiligingsupdates los van reguliere updates uit te voeren. In beide gevallen kan je dit ook uitschakelen, maar dan wordt het in reguliere updates meegenomen.

Voor mij lijken beide anders technisch te zijn, maar functioneel wel vergelijkbaar.
Ze hebben toch al een tijdje die ‘beveiligingsverbeteringen op de achtergrond’ functie onder privacy en beveiliging waar ze helemaal niks meer mee doen? Hiermee zouden ook kleinere beveilingsupdates uitgebracht worden.
Ik heb liever dat ze die updates een beetje centraal houden, dat houdt het net wat overzichtelijker.
Veiliger om een Nokia 3310 te kopen. 8-)
Mij is altijd verteld dat apple software beter is op alle mogelijke manieren.
Ik weet nog dat een mac geen virusscanner nodig had en toen bleek later dat die al jaren onder de motorkap draaide.....
Toch mooi hoe het tij is gekeerd.
Dit zeg ik overigens als iemand die het niet uitmaakt wat iemand gebruikt, ik probeer gewoon op te merken dat wat er gezegd wordt, vaak onzinnig is. De andere OS-en hebben ook genoeg onzin erin of wat erover gezegd wordt.

Om te kunnen reageren moet je ingelogd zijn