Ernstig iOS-gat levert zelfs oude iPhones patch op

De iOS-update 14.4.2 die de afgelopen dagen is gedistribueerd naar Apple-apparaten is samengegaan met een update voor versie 12 van het mobiele besturingssysteem. Daarmee dicht Apple een kritiek beveiligingsgat in iOS ook voor oudere iPhones en iPads. Het bedrijf patcht met de 12.5.2-update de iPhone 5s (die in 2013 is uitgekomen), de iPhone 6 en een reeks oudere iPads.

Geen 13

De 14.4.2-patch voor de huidige iOS-release biedt bescherming aan iPhones vanaf de 6s, alle modellen van de iPad Pro, iPads Air vanaf de 2, iPads vanaf de vijfde generatie, iPads mini vanaf de 4, en iPods touch vanaf de zevende generatie. De tussenliggende iOS-versie 13 wordt nu overgeslagen omdat apparaten die dat draaien ook de opvolger (iOS 14) kunnen draaien. Door Apples automatische updatebeleid is die upgrade in de praktijk ook veel gedaan.

De kwetsbaarheid die gedicht moet worden, zit in de browserengine WebKit en kan via specifiek aangemaakte webcontent worden misbruikt. Aanvallers kunnen hiermee universele cross-site scripting uitvoeren. Daarmee kunnen ze dus eigen code vanaf een andere website uitvoeren wanneer een gebruiker een legitieme andere website bezoekt, of content daarvan bekijkt op een iOS-apparaat.

Aanval is aanval

Apple meldt dat het weet heeft van meldingen dat deze kwetsbaarheid actief wordt misbruikt. Het gat is bij de iOS-maker gemeld door securityonderzoekers van Google. Twee experts van de Threat Analysis Group van Google worden bij naam genoemd voor de ontdekking van CVE-2021-1879. Diezelfde securitygroep heeft vorige week een reeks zeroday-gaten onthuld die in oktober zijn ontdekt bij gerichte aanvallen. Dit zouden antiterrorismehacks door een Westerse mogendheid zijn geweest.