Apple rolt een patch uit die potentieel gevaarlijke kwetsbaarheden in WebKit en IOSurfaceAccelerator oplost. Het wordt aangeraden de update onmiddellijk uit te voeren.
De kwetsbaarheden zijn van toepassing op iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 and Safari 16.4.1, wat betekent dat iedereen die een ondersteund Apple-toestel heeft alert moet zijn. Wie tijdens het paasweekend zich niet bezig heeft gehouden met het installeren van updates, maakt daar vandaag maar beter een prioriteit van.
Een eerste kwetsbaarheid, gedoopt tot CVE-2023-28205, kan ervoor zorgen dat WebKit kwaadaardige webinhoud verwerkt, met het uitvoeren van willekeurige code tot gevolg. WebKit is de onderliggende motor van Safari, de browser die op elk Apple-toestel voorgeïnstalleerd staat. Dat maakt dat deze kwetsbaarheid een potentieel groot bereik heeft. Ook in februari moest Apple aan de noodrem trekken om een lek in WebKit te dichten dat gegevens op je smartphone blootlegde.
Maar ook CVE-2023-28206 mag niet onderschat worden. Dit is een bug in IOSurfaceAccelerator die een applicatie onbedoeld toegang kan geven om code uit te voeren in de kernel van het besturingssysteem. De patch bevat verbeterde inputvalidatie en geheugenbeheer om beide lekken te dichten.
Zo snel mogelijk updaten
Volgens Apple zijn er indicaties dat de kwetsbaarheden op dit moment actief misbruikt worden door kwaadwillige actoren, wat alleen maar de urgentie verhoogt om de patch te installeren. Controleren op beschikbare updates doe je via de instellingen van je apparaat. Heb je automatische updates ingeschakeld, dan heeft je apparaat zich mogelijk al zelf bijgewerkt.
Apple beloofde met de release van Apple rolde iOS 16.3, iPadOS 16.3 en macOS Ventura 13.3 om beveiligingsupdates sneller uit te rollen. Door nu weer kordaat op te treden, laat de iPhonebouwer alvast zien dat dat geen loze belofte was.