Kwetsbaarheden Verholpen in Apple iOS en iPadOS

Versie 1.00 | Publicatiedatum: vandaag | NCSC-ID: NCSC-2024-0382

Inleiding

Apple heeft recent een reeks kwetsbaarheden in zijn iOS en iPadOS besturingssystemen aangepakt. Deze kwetsbaarheden zouden door kwaadwillenden kunnen worden misbruikt voor diverse soorten aanvallen. Deze informatie is verzameld en uitgegeven door het Nationaal Cyber Security Centrum (NCSC).

Belang van Updates

Apple heeft de beveiligingsupdates uitgebracht voor iOS versies 17.7 en 18, evenals voor iPadOS versies 17.7 en 18. Het is van cruciaal belang om deze updates zo snel mogelijk te installeren om het risico op cyberaanvallen te minimaliseren.

Kwetsbaarheden

De volgende soorten kwetsbaarheden zijn geïdentificeerd en verholpen:

1. Permissive Cross-domain Policy with Untrusted Domains
2. CWE-275 Improper Access Control
3. Improper Authorization
4. Heap-based Buffer Overflow
5. Exposure of Sensitive Information to an Unauthorized Actor
6. Improper Neutralization of Input During Web Page Generation (Cross-Site Scripting)
7. Improper Authentication
8. Integer Overflow or Wraparound
9. Improper Resource Shutdown or Release

Beschrijving van de Mogelijke Gevolgen

Een kwaadwillende kan de genoemde kwetsbaarheden misbruiken om de volgende soorten aanvallen uit te voeren:

• Cross-Site Scripting (XSS)
• Denial-of-Service (DoS)
• Manipulatie van Gegevens
• Omzeilen van Beveiligingsmaatregelen
• Toegang tot Gevoelige Gegevens
• Toegang tot Systeemgegevens

Voor succesvol misbruik moet de aanvaller fysieke toegang hebben tot het apparaat, het slachtoffer verleiden om een malafide applicatie te installeren of een malafide link te openen.

Bereik van de Kwetsbaarheid

De volgende platforms en producten zijn getroffen:

• Platforms: Apple iOS, Apple iPadOS
• Producten en Versies:
  • Apple iOS 17.7
  • Apple iOS 18
  • Apple iPadOS 17.7
  • Apple iPadOS 18

Oplossingen

Apple heeft updates uitgebracht voor iOS en iPadOS 17.7 en 18. Voor gedetailleerde informatie en downloadlinks verwijzen we naar de volgende pagina’s:

• iOS beveiligingsupdates
• iPadOS beveiligingsupdates

CVE’s

De volgende CVE’s (Common Vulnerabilities and Exposures) zijn gecatalogiseerd en opgelost in deze updates:

• CVE-2023-5841
• CVE-2024-27869
• CVE-2024-27874
• En vele anderen. Raadpleeg de volledige lijst op de advisorypagina van het NCSC.

Veiligheidswaarschuwing

Veiligheidsverklaring

Door gebruik te maken van deze security advisory, gaat u akkoord met de volgende voorwaarden. Hoewel het NCSC uiterst zorgvuldig is geweest bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of voortdurende actualiteit van dit advies. De inhoud is uitsluitend bedoeld als algemene informatie.

Het NCSC en de Staat der Nederlanden zijn niet aansprakelijk voor enige schade door het gebruik of de onmogelijkheid van het gebruik van deze informatie, met inbegrip van schade als gevolg van onjuistheden of onvolledigheden.

Dit beveiligingsadvies valt onder Nederlands recht. Geschillen in verband met dit advies zullen worden voorgelegd aan de rechtbank te Den Haag.

Voor de officiële en meest actuele informatie, inclusief digitale handtekening, raadpleeg de Signed-PGP versie via de NCSC advisory-pagina.

Referenties

• NCSC Advisory ID: NCSC-2024-0382
• Voor meer gedetailleerde informatie, raadpleeg de officiële bronnen: Signed-PGP, CSAF, PDF

Blijf uw systemen up-to-date houden en volg veiligheidsprotocollen om uw netwerken en gegevens te beschermen.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----