Apple heeft maandag beveiligingspatches uitgebracht voor iOS, iPadOS, macOS, tvOS, watchOS en Safari-webbrowser om meerdere beveiligingsfouten aan te pakken, naast backporting-oplossingen voor twee onlangs bekendgemaakte zero-days naar oudere apparaten.
Dit omvat updates voor twaalf beveiligingsproblemen in iOS en iPadOS, waaronder AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing en WebKit. macOS Sonoma 14.2 lost op zijn beurt 39 tekortkomingen op, waaronder zes bugs die van invloed zijn op de ncurses-bibliotheek.
Opvallend onder de tekortkomingen is CVE-2023-45866, een kritiek beveiligingsprobleem waardoor een aanvaller in een geprivilegieerde netwerkpositie toetsaanslagen kan injecteren door een toetsenbord te spoofen.
De kwetsbaarheid werd vorige week onthuld door SkySafe-beveiligingsonderzoeker Marc Newlin. Het is hersteld in iOS 17.2, iPadOS 17.2 en macOS Sonoma 14.2 met verbeterde controles, aldus de iPhone-maker.
Ook door Apple uitgebracht is Safari 17.2, met oplossingen voor twee WebKit-fouten – CVE-2023-42890 en CVE-2023-42883 – die zouden kunnen leiden tot het uitvoeren van willekeurige code en een denial-of-service (DoS)-toestand. De update is beschikbaar voor Macs met macOS Monterey en macOS Ventura.
iOS 17.2 en iPadOS 17.2 pakken niet alleen een Siri-bug aan die een tegenstander met fysieke toegang in staat zou kunnen stellen gevoelige gegevens te verkrijgen, maar bevatten ook een beveiligingsupgrade in de vorm van Contact Key Verification, die de privacy van iMessage-gesprekken garandeert door gebruikers in staat te stellen de contacten te verifiëren waarmee ze communiceren.
“iMessage Contact Key Verification bevordert de state-of-the-art van Key Transparency-implementaties door gebruikersapparaten zelf consistentiebewijzen te laten verifiëren en de consistentie van het KT-systeem op alle gebruikersapparaten voor een account te garanderen”, merkte Apple op in een technische uitleg in oktober 2023.
“Deze verbeteringen beschermen tegen het compromitteren van sleuteldirectory’s en tegen het compromitteren van de transparantiedienst zelf, en kunnen gesplitste weergaven van beide diensten detecteren.”
Gelijktijdig met de updates heeft Apple ook iOS 16.7.3 en iPadOS 16.7.3 uitgebracht om maar liefst acht beveiligingsproblemen op te lossen, waarvan er twee betrekking hebben op WebKit (CVE-2023-42916 en CVE-2023-42917). door Redmond omdat het eerder deze maand actief in het wild werd geëxploiteerd.
Beide kwetsbaarheden zijn ook gepatcht in tvOS 17.2 en watchOS 10.2. Er zijn nog geen aanvullende details beschikbaar over de aard van de uitbuiting en de dreigingsactoren die hiervan mogelijk gebruik maken.
