Moderne webbrowsers zijn ingewikkeld, waardoor ze vatbaarder worden voor meer potentiële beveiligingsproblemen. Apple heeft nu updates uitgebracht om een fout in Safari te verhelpen waardoor webpagina’s code op het apparaat konden uitvoeren.
Apple heeft zojuist systeemupdates uitgebracht voor iPhones, iPads en Macs, die allemaal een oplossing bevatten voor een fout in Safari’s webkit-engine. De updates hebben versienummers van respectievelijk iOS 16.4.1, iPadOS 16.4.1 en macOS Ventura 13.3.1. Apple heeft geen details bekendgemaakt over het beveiligingslek, behalve dat het “kwaadwillig vervaardigde webinhoud” toestaat om willekeurige code op het apparaat uit te voeren alsof er een native applicatie actief is.
Helaas is dit ook een zero-day-kwetsbaarheid – Apple zegt dat het “op de hoogte is van een rapport dat dit probleem mogelijk actief is misbruikt”. Voor Mac-computers die niet zijn geüpdatet naar Ventura, rolt Safari 16.4.1 uit naar macOS Big Sur en Monterey met dezelfde oplossing.
De updates voor macOS Ventura, iOS 16 en iPadOS 16 bevatten ook een oplossing voor een ander beveiligingsprobleem in IOSurfaceAccelerator, een systeemframework. Die fout maakt willekeurige code-uitvoering mogelijk met dezelfde voorzieningen als kernelcode. Apple zegt dat die fout ook al in het wild in gebruik kan zijn.
U kunt de nieuwe OS-updates downloaden via de app Instellingen op uw iPhone, iPad of Mac. Misschien zal Apple een dezer dagen uitzoeken hoe Safari kan worden bijgewerkt zonder een volledige upgrade van het besturingssysteem.
Bron: Apple (iOS/iPadOS, macOS, Safari)
