Apple heeft beveiligingsupdates uitgebracht om meerdere beveiligingsfouten aan te pakken, inclusief twee kwetsbaarheden die volgens het bedrijf actief worden uitgebuit in het wild.
De tekortkomingen worden hieronder opgesomd –
CVE-2024-23225 – Een probleem met geheugencorruptie in de kernel dat een aanvaller met willekeurige kernel lees- en schrijfmogelijkheden kan uitbuiten om de beveiligingen van het kernelgeheugen te omzeilen.
CVE-2024-23296 – Een probleem met geheugencorruptie in het RTKit real-time besturingssysteem (RTOS) dat een aanvaller met willekeurige kernel lees- en schrijfmogelijkheden kan uitbuiten om de beveiligingen van het kernelgeheugen te omzeilen.
Het is momenteel niet duidelijk hoe de fouten in het wild worden gebruikt. Apple zei dat beide kwetsbaarheden zijn aangepakt met verbeterde validatie in iOS 17.4, iPadOS 17.4, iOS 16.7.6 en iPadOS 16.7.6.
De updates zijn beschikbaar voor de volgende apparaten –
iOS 16.7.6 en iPadOS 16.7.6 – iPhone 8, iPhone 8 Plus, iPhone X, iPad 5e generatie, iPad Pro 9.7-inch, en iPad Pro 12.9-inch 1e generatie
iOS 17.4 en iPadOS 17.4 – iPhone XS en later, iPad Pro 12.9-inch 2e generatie en later, iPad Pro 10.5-inch, iPad Pro 11-inch 1e generatie en later, iPad Air 3e generatie en later, iPad 6e generatie en later, en iPad mini 5e generatie en later
Met deze laatste ontwikkeling heeft Apple sinds het begin van het jaar in totaal drie actief uitgebuite zero-day kwetsbaarheden in zijn software aangepakt. Eind januari 2024 dichtte het een typeverwarringsfout in WebKit (CVE-2024-23222) die van invloed was op iOS, iPadOS, macOS, tvOS en de Safari-webbrowser en die zou kunnen leiden tot willekeurige code-uitvoering.
Deze ontwikkeling komt op het moment dat het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) twee fouten heeft toegevoegd aan zijn catalogus van bekende uitgebuite kwetsbaarheden (KEV), waarin federale agentschappen worden aangespoord om de noodzakelijke updates uiterlijk 26 maart 2024 toe te passen.
De kwetsbaarheden betreffen een informatieonthullingsfout die van invloed is op Android Pixel-apparaten (CVE-2023-21237) en een besturingssysteemcommandoinjectiefout in Sunhillo SureLine die kan leiden tot code-uitvoering met rootprivileges (CVE-2021-36380).