Verschillende kwetsbaarheden in iOS en iPadOS maken het mogelijk voor aanvallers om op afstand code op kwetsbare iPhones en iPads uit te voeren. Alleen het bezoeken van een malafide website is voldoende. Er is geen verdere interactie van gebruikers vereist. Apple heeft iOS 14.6 eniPadOS 14.6 uitgebracht om de beveiligingslekken te verhelpen.

Met de updates worden minimaal 43 kwetsbaarheden in beide besturingssystemen opgelost. Het is in het verleden vaker voorgekomen dat Apple op een later moment meldt dat er meer beveiligingslekken zijn verholpen dan eerder werd aangekondigd. Meerdere van de nu verholpen lekken bevinden zich in WebKit, de door Apple ontwikkelde browser-engine waar Safari en alle andere browsers op iOS gebruik van maken.

Het verwerken van malafide webcontent maakt het mogelijk voor een aanvaller om willekeurige code op het systeem van de gebruiker uit te voeren. Dergelijke kwetsbaarheden zijn via een drive-by download te misbruiken, waarbij het bezoeken van een gecompromitteerde of malafide website volstaat om te worden aangevallen. Ook het openen van een malafide afbeelding of audiobestand maakt het uitvoeren van code mogelijk.

Verder is het mogelijk voor malafide apps om kernel- en rootrechten te krijgen, kunnen iPhones en iPads ongeldige activatieresultaten accepteren, is het mogelijk om afgeschermde informatie via het lockscreen te achterhalen en kan een aanvaller in de buurt gebruikers een minder veilige wifi-authenticatie laten gebruiken. Updaten naar de nieuwste versie van iOS en iPadOS kan via de updatefunctie of iTunes.

Source