Apple heeft beveiligingsverbeteringen geïntroduceerd om ‘zero-day’-kwetsbaarheden te neutraliseren die zijn uitgebuit bij cyberaanvallen op iPhones, Macs en iPads.

Als reactie op de ontdekking van een WebKit-fout die is geïdentificeerd als CVE-2023-37450, heeft het bedrijf deze maand een aantal Rapid Security Response (RSR)-updates geïnstalleerd. “Apple heeft rapporten ontvangen die wijzen op mogelijke actieve uitbuiting van dit probleem”, aldus het bedrijf in een openbaar bericht.

Vandaag heeft Apple nog een zero-day gecorrigeerd, een nieuw Kernel-foutje geïdentificeerd als CVE-2023-38606, dat was misbruikt om apparaten met oudere iOS-versies aan te vallen. “We hebben rapporten ontvangen die suggereren dat iOS-versies die zijn uitgebracht vóór iOS 15.7.1 mogelijk actief zijn misbruikt als gevolg van dit probleem”, meldde het bedrijf.

Uitbuiting op ongepatchte apparaten zou aanvallers in staat stellen om gevoelige kerneltoestanden te wijzigen. Om deze twee kwetsbaarheden te verhelpen, heeft Apple verbeterd statusbeheer en controles ingebouwd.

Boris Larin, hoofdbeveiligingsonderzoeker van Kaspersky GReAT, meldde dat CVE-2023-38606 deel uitmaakte van een zero-click exploit-keten om Triangulation spyware op iPhones te implanteren via iMessage exploits.

Lees ook: “Ongeziene risico’s: Hoe de gestolen Microsoft-sleutel meer kan ontsluiten dan verwacht”.

Daarnaast heeft het bedrijf met terugwerkende kracht beveiligingspatches toegepast voor een zero-day (CVE-2023-32409) die in mei werd aangepakt op apparaten met tvOS 16.6 en watchOS 9.6.

Apple heeft de drie zero-days in macOS Ventura 13.4, iOS en iPadOS 16.5, tvOS 16.5, watchOS 9.5 en Safari 16.5 tegengegaan door geheugenbeheer, invoervalidatie en bounds checks te verbeteren.

Een uitgebreide lijst met apparaten is getroffen door de twee zero-days die vandaag zijn verholpen, waaronder verschillende iPhone- en iPad-modellen en Macs die werken op macOS Big Sur, Monterey en Ventura.

Tot nu toe heeft Apple dit jaar 11 ‘zero-day’-fouten verholpen die aanvallers hebben misbruikt om iOS-, macOS- en iPadOS-apparaten aan te vallen.

Eerder deze maand heeft Apple ongeplande Rapid Security Response (RSR)-updates uitgebracht om een bug (CVE-2023-37450) te neutraliseren die gevolgen heeft voor iPhones, Macs en iPads die volledig zijn bijgewerkt. Vervolgens erkende het bedrijf dat de RSR-updates het surfen op specifieke websites onderbraken en bracht het twee dagen later gecorrigeerde versies van de defecte patches uit.

Hiervoor heeft Apple verschillende andere zero-days aangepakt, waaronder:

• Drie in juni (CVE-2023-32434, CVE-2023-32435 en CVE-2023-32439)
• Nog eens drie in mei (CVE-2023-32409, CVE-2023-28204 en CVE-2023-32373)
• Nog twee in april (CVE-2023-28206 en CVE-2023-28205)
• En een WebKit zero-day (CVE-2023-23529) in februari