• Apple verhelpt kritieke lekken in MacOS, iOS, iTunes en Safari

Apple verhelpt kritieke lekken in MacOS, iOS, iTunes en Safari

Clock Geplaatst op donderdag 26 maart 2020

Apple heeft beveiligingsupdates uitgebracht die kritieke kwetsbaarheden in onder andere MacOS, iOS, iTunes en Safari verhelpen. Via de beveiligingslekken had een aanvaller in het ergste geval volledige controle over het systeem kunnen krijgen, waarbij alleen het bezoeken van een website voldoende was.

Met iOS 13.4 en iPadOS 13.4 zijn in totaal dertig kwetsbaarheden in de besturingssystemen verholpen. Via de lekken had een aanvaller bluetooth-verkeer kunnen onderscheppen, was het mogelijk voor een aanvaller met toegang tot een vergrendelde iPhone om op berichten te reageren, zelfs wanneer het beantwoorden stond uitgeschakeld. Verder bleek dat de activiteiten tijdens private browsing onbedoeld door Screen Time konden worden opgeslagen.

De gevaarlijkste kwetsbaarheden zijn in WebKit opgelost, waar Safari gebruik van maakt. Alleen het bezoeken van een malafide of gecompromitteerde website zou voldoende zijn geweest om een aanvaller willekeurige code uit te laten voeren. Updaten naar de nieuwste versie kan via iTunes en de Software Update-functie.

MacOS

Voor Mac-gebruikers zijn macOS Catalina 10.15.4, Security Update 2020-002 Mojave en Security Update 2020-002 High Sierra verschenen. De updates verhelpen in totaal 27 kwetsbaarheden. Een van de beveiligingslekken bevond zich in Apple Mail en maakte het mogelijk voor een remote aanvaller om willekeurige JavaScript-code uit te laten voeren. Tevens bleek het mogelijk voor malafide apps om de controle op een digitale handtekening te omzeilen. Updaten kan via de updatefunctie van het besturingssysteem.

Voor macOS Mojave en macOS High Sierra is Safari 13.1 uitgekomen. De browserupdate, die standaard onderdeel van de Catalina-update is, lost elf kwetsbaarheden op. Tien daarvan bevonden zich in WebKit, dat Safari als browserengine gebruikt, en maakten het uitvoeren van willekeurige code mogelijk. Daarnaast is er een lek in Safari Downloads verholpen. Een kwaadaardig iframe had hierdoor de downloadinstellingen van een andere website kunnen gebruiken. Safari 13.1 is voor Mojave- en High Sierra-gebruikers te downloaden via de Mac App Store.

Voor Windowsgebruikers heeft Apple iTunes 12.10.5 uitgebracht, waarmee dertien kwetsbaarheden tot het verleden behoren. Via de beveiligingslekken zou een aanvaller op afstand willekeurige code kunnen uitvoeren als iTunes kwaadaardige webcontent zou verwerken. De update is te downloaden via Apple.com.

 

Arrow leftTerug naar overzicht
Cross icon