Apple heeft een beveiligingsupdate uitgegeven om drie zero-day-kwetsbaarheden te dichten. CVE-2021-1780, CVE-2021-1781 en CVE-2021-1782. Omdat Apple gelooft dat anonieme cybercriminelen deze kwetsbaarheden al benutten, raadt het bedrijf alle iOS- en iPadOS-gebruikers aan om hun besturingssystemen te updaten.
De kwetsbaarheden
CVE-2021-1780 en CVE-2021-1781 zijn kwetsbaarheden in de WebKit-browser-engine, die de standaard browser Safari gebruikt. Volgens Apple kunnen beide kwetsbaarheden leiden tot het willekeurig uitvoeren van code op het apparaat.
Gebruikers van andere browsers hebben deze update ook nodig. Zelfs als het systeem een andere browser bevat, kunnen andere applicaties beroep doen op de Safari-engine voor in-app browsing. De aanwezigheid van een kwetsbare engine in het systeem is hoe dan ook gevaarlijk.
CVE-2021-1782 is een kwetsbaarheid in de systeemkernel. Apple beschrijft het als een race condition-fout die mogelijk gebrruikt kan worden om de privileges van een proces te verhogen.
Volgens de beschikbare informatie kan het al zijn dat onbekende partijen gebruikmaken van deze kwetsbaarheden. Ze zouden de drie kwetsbaarheden als exploit chain kunnen gebruiken, maar met het lopende onderzoek en ter bescherming van gebruikers is Apple van plan om het vrijgeven van meer details uit te stellen. De CVE-database biedt momenteel ook geen preciezere informatie.
Zo beschermt u uw iOS-apparaten
- Update alle iPhones en iPads die dit ondersteunen zo snel mogelijk naar iOS/iPadOS 14.4. Volgens de website van Apple is de update beschikbaar voor de iPhone 6s en nieuwere versies, de iPad Air 2 en nieuwer, de iPad mini 4 en nieuwer en de iPod Touch van de zevende generatie.
- Als u apparaat ouder is dan de genoemde versies en versie 14.4 van iOS of iPadOS niet ondersteunt, installeer dan een andere browser als alternatief voor Safari en stel deze in als standaard browser. Vanaf iOS 11 kunt u bijvoorbeeld Firefox of DuckDuckGo gebruiken, en vanaf iOS 12 kunt u ook voor Google Chrome kiezen.