Apple heeft opnieuw actief aangevallen zerodaylekken in iOS en macOS gedicht. Het gaat om drie kwetsbaarheden in WebKit, de door Apple ontwikkelde browser-engine waar Safari en alle andere browsers op iOS gebruik van maken. Het verwerken van malafide webcontent maakt het mogelijk voor een aanvaller om willekeurige code op het systeem van de gebruiker uit te voeren.

Dergelijke kwetsbaarheden zijn via een drive-by download te misbruiken, waarbij het bezoeken van een gecompromitteerde of malafide website volstaat om te worden aangevallen. De beveiligingslekken in WebKit, aangeduid als CVE-2021-30666, CVE-2021-30665 en CVE-2021-30663, betreffen respectievelijke een buffer overflow, memory corruption en een integer overflow. Dit laatste probleem is door Apple verholpen door de invoer van gebruikers beter te valideren. Verdere details zijn niet gegeven.

Eigenaren van een iPhone of iPad wordt aangeraden om te updaten naar iOS 14.5.1 of iPadOS 14.5.1 of iOS 12.5.3. Voor gebruikers van macOS Big Sur is versie 11.3.1 uitgekomen. In januari, maart en april kwam Apple ook al met updates voor actief aangevallen zerodaylekken in onder andere WebKit.

Hieronder een overzicht van de zerodays die Apple dit jaar heeft verholpen. Meerdere van de kwetsbaarheden werden gevonden en gerapporteerd door onderzoeker “yangkang” van securitybedrijf Qihoo 360.

  • CVE-2021-1782 – iOS-kernel
  • CVE-2021-1870 – WebKit
  • CVE-2021-1871 – WebKit
  • CVE-2021-1879 – WebKit
  • CVE-2021-30657 – Gatekeeper
  • CVE-2021-30661 – WebKit
  • CVE-2021-30663 – WebKit
  • CVE-2021-30665 – WebKit
  • CVE-2021-30666 – WebKit

Source