Webbrowsers zijn complexe toepassingen en moeten voortdurend worden gepatcht om te voorkomen dat schadelijke webpagina’s uit hun sandbox breken. Apple rolt nu een oplossing uit voor een Safari die een kritiek beveiligingslek verhelpt.
Apple rolt nu iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 en updates voor andere platforms uit die een handvol beveiligingsproblemen aanpakken. De iPhone-, iPad- en Mac-updates bevatten allemaal oplossingen voor de Safari-engine (WebKit) en de kernel van het besturingssysteem, terwijl de macOS-update een extra beveiligingsoplossing voor snelkoppelingen bevat.
De update van de WebKit-engine repareert een bug waarbij oneigenlijk gebruik van een bepaalde JavaScript-bibliotheek (jsonwebtoken) de uitvoering van externe code op het hostapparaat mogelijk maakte. Apple zei dat het “op de hoogte is van een rapport dat dit probleem mogelijk actief is misbruikt”, wat betekent dat het op sommige webpagina’s kan worden gebruikt. Het werd oorspronkelijk gerapporteerd met de identifier CVE-2022-23529, maar het is officieel ingetrokken, omdat de National Vulnerability Database het niet classificeert als een softwarekwetsbaarheid.
De iOS- en iPadOS-updates losten ook een bug op waardoor apps willekeurige code konden uitvoeren met privileges op kernelniveau, die werd ontdekt door Xinru Chi van Pangu Lab en Ned Williamson van Google Project Zero. De macOS-update verhelpt een extra kwetsbaarheid waardoor apps “onbeschermde gebruikersgegevens konden observeren” via snelkoppelingen, wat blijkbaar geen invloed heeft op andere platforms.
Het is een goed idee om uw iPhone, iPad en Mac zo snel mogelijk bij te werken met de nieuwste beveiligingspatches. Apple rolt ook Safari 16.3.1 uit naar macOS Big Sur en macOS Monterey, voor computers die nog niet zijn geüpdatet naar Ventura (of die te oud zijn om de nieuwste release te gebruiken). Je bent kwetsbaar, zelfs als je Safari zelf niet gebruikt: alle webbrowsers op iPhone en iPad gebruiken Safari’s WebKit-engine en veel Mac-apps gebruiken de ingebouwde rendering-engine voor het weergeven van webinhoud.
Bron: GitHub, Apple (iOS, macOS, Safari)