Noodpatch voor zeroday in iOS die aanvallers mogelijk al misbruiken

Deze kwetsbaarheid (die CVE-nummer 2021-30883 heeft gekregen) geeft aanvallers de mogelijkheid om via applicaties eigen code uit te voeren met kernel-privileges, aldus Apple. Dit houdt in dat aanvallers het lek kunnen gebruiken om een iPhone of iPad over te nemen. De fout is ontdekt door een anonieme beveiligingsonderzoeker.

Het lek wordt gedicht in iOS-versie 15.0.2 en iPadOS-versie 15.0.2. Apple roept gebruikers op deze update zo snel mogelijk te installeren. De patch is beschikbaar voor iPhone 6s en nieuwere edities, iPad Pro, iPad Air 2 en nieuwere edities, iPad 5th generation en nieuwer, iPad mini 4 en nieuwer en de iPod Touch. Oudere toestellen krijgen de fix voor deze zeroday vooralsnog niet.

Zeventien zerodays

Het lek zit specifiek in IOMobileFrameBuffer. Daarmee is het volgens The Hacker News de tweede keer dit jaar dat er een zeroday is die IOMobileFrameBuffer treft. De vorige zeroday werd in juli dit jaar ontdekt en gedicht. In totaal heeft Apple in 2021 zeventien zerodays gedicht, waaronder een fout die eind vorige maand ontdekt werd in de XNU-kernel.