Apple heeft een cruciale update voor macOS uitgebracht om een aantal zero-day-kwetsbaarheden te verhelpen. De beveiligingspatches zijn ook beschikbaar voor iPhones en iPads.
Intel-gebaseerde Macs zijn het doelwit van beveiligingsaanvallen
De macOS Sequoia 15.1.1-update bevat twee beveiligingsoplossingen, die beide invloed hebben op Safari. De kwetsbaarheden zijn ontdekt door twee beveiligingsexperts die deel uitmaken van de Threat Analysis Group van Google, Clément Lecigne en Benoît Sevens. Ze rapporteerden hun bevindingen aan Apple, die bevestigde dat het zich ervan bewust is dat de problemen mogelijk actief door hackers zijn uitgebuit. Details over de aanslagen zijn niet bekendgemaakt.
Zie ook:Mullvad VPN-audit: laag aantal gevonden en opgeloste kwetsbaarheden, veel lof
Volgens deBeveiligingsreleasespagina op de bedrijfsportal, de eerste van deze patches zijn voor een probleem dat wordt bijgehouden onder CVE-2024-44308 en is gerelateerd aan JavaScriptCore. Een kwetsbaarheid maakte de verwerking van kwaadaardige webinhoud mogelijk, wat vervolgens kon leiden tot het uitvoeren van willekeurige code. De bug is verholpen door de controles te verbeteren.
De tweede kwetsbaarheid wordt bijgehouden onder CVE-2024-44309 en treft WebKit. Door dit probleem kan schadelijke inhoud op een webpagina een cross-site scripting-aanval initiëren. Apple heeft de bug geïdentificeerd als een probleem met het cookiebeheer en heeft dit verholpen door het statusbeheer te verbeteren.
Nu zijn de beveiligingsoplossingen niet exclusief voor Intel-Macs, hoewel de problemen zelf op die machines werden uitgebuit. Omdat de exploits in Safari voorkomen, kunnen ook andere apparaten kwetsbaar zijn. Daarom zijn de patches opgenomen voor alle Macs die macOS Sequoia ondersteunen. De beveiligingsupdates zijn ook uitgebracht voor oudere Macs die op Ventura en Sonoma draaien, maar niet als besturingssysteemupdate. In plaats daarvan heeft Apple een update voor zijn browser uitgebracht om de kwetsbaarheden op oudere systemen te verhelpen. Het versienummer wordt verhoogd naar Safari 18.1.1.
Er zijn nog steeds een flink aantal Intel Macs die worden ondersteund door macOS Sequoia, waaronder de iMac Pro uit 2017, de Mac mini uit 2018, de MacBook Pro uit 2018, de iMac uit 2019, de MacBook Pro uit 2019, de iMac uit 2020, de MacBook Air uit 2020 en de Mac Pro uit 2019. Apple begon in 2020 over te schakelen op Apple Silicon-chips en begon de Intel-modellen uit te faseren. Het bedrijf Cupertino stopte in 2023 met de verkoop van Intel Macs, het laatste apparaat hiervan dat werd stopgezet was de Mac Pro.
Beveiligingsoplossingen voor iOS en iPadOS
Deze patches zijn ook beschikbaar via de visionOS 2.1.1-update voor Vision Pro, iOS 18.1.1 voor iPhone XS en hoger, en iPadOS 18.1.1 voor iPad Pro 13-inch, iPad Pro 12,9-inch 3e generatie en hoger, iPad Pro 11-inch 1e generatie en hoger, iPad Air 3e generatie en hoger, iPad 7e generatie en hoger, en iPad mini 5e generatie en hoger. Gebruikers op iOS 17 en iPadOS 17 krijgen de beveiligingsupdates ook via iOS 17.7.2 (iPhone XS en hoger) en iPadOS 17.7.2 (alle bovengenoemde iPads, plus de iPad 6e generatie).
Het is raadzaam om uw Mac, iPhone en iPad zo snel mogelijk te updaten om deze tegen de kwetsbaarheden te beschermen.
Het lijkt misschien vreemd waarom deze zero-day-bedreigingen niet worden bijgewerkt via het Rapid Security Responses-systeem; het is immers ontworpen om bedreigingen snel tegen te gaan met een kleine update en een herstart van het systeem. Apple gebruikte het RSR-systeem slechts twee keer, het leek prima te functioneren toen het bedrijf in mei vorig jaar een RSR-update uitbracht voor iOS 16.4.1, iPadOS 16.4.1 en macOS 13.1.1 Ventura. Maar de iOS 16.5.1-, iPadOS 16.5.1- en macOS 13.4.1 RSR-updates die in juli 2023 werden uitgebracht, bevatten fouten en verbraken de compatibiliteit met veel websites, waardoor ze onbruikbaar werden, en Apple moest de updates haastig intrekken. Sindsdien hebben we geen RSR-updates meer gezien.