Iets minder dan twee weken geleden schreven we over een Apple Safari-bug waardoor malafide website-exploitanten u kunnen volgen, zelfs als ze de indruk wekken dat ze dit niet doen, en zelfs als u strikte privacybescherming had ingeschakeld.
In feite is die kwetsbaarheid, nu bekend als: CVE-2022-22594, verscheen in Safari vanwege een bug in WebKit, de "browser-rendering-engine", zoals deze dingen algemeen bekend zijn, waarop de Safari-app is gebaseerd.
En hoewel Safari de enige mainstream op WebKit gebaseerde browser is op Apple's macOS (Edge en Chromium gebruiken de Blink-engine van Google; Firefox gebruikt Mozilla's Gecko-renderer), is dat niet het geval op de mobiele apparaten van Apple.
Elke browser of browserachtige app in de App Store, die in wezen de enige bron van software is voor iPhones, iPads, Apple Watches enzovoort, moet worden geprogrammeerd om WebKit te gebruiken, zelfs als deze een weergave-engine van derden op andere platformen.
Als gevolg hiervan konden macOS-gebruikers eenvoudig van browser wisselen om de bug te omzeilen, terwijl iDevice-gebruikers dat niet konden.
De bug van CVE-2022-22594 was irritant eenvoudig. Het was gebaseerd op het feit dat hoewel uw website geen toegang had tot de gegevens die lokaal door mijn website zijn opgeslagen (een gevolg van de Hetzelfde oorsprongsbeleid wordt afgedwongen door browsers om webgegevens privé te houden voor de pagina die ze in de eerste plaats heeft gemaakt), zou het de namen kunnen vermelden van alle databases die ik voor mijn gegevens had gemaakt. Als ik een databasenaam kies die uniek is voor mijn eigen service, om te voorkomen dat ik met iemand anders in botsing kom, zou die naam unieke identificatie van mijn site, en zou daarom de browsegeschiedenis van de gebruiker lekken. Maar als ik een willekeurige naam zou kiezen om botsingen te voorkomen terwijl ik mijn website niet identificeer, zou die naam in plaats daarvan fungeren als een soort "supercookie" die unieke identificatie van de gebruiker. Verliezen/verliezen.
Patches nu uit
Het goede nieuws is dat CVE-2022-22594 is gepatcht in de nieuwste beveiligingsupdates van Apple, die als volgt beschikbaar zijn:
- iOS 15.3 en iPadOS 15.3. Zie beveiligingsbulletin HT213053.
- macOS Monterey 12.2. Zie beveiligingsbulletin HT213054.
- tvOS 15.3. Zie beveiligingsbulletin HT213057.
- watchOS 8.4. Zie beveiligingsbulletin HT213059.
- Safari15.3. Deze update is automatisch opgenomen in de vier hierboven genoemde, maar moet apart worden gedownload voor macOS Big Sur en Catalina. HT213058.
Natuurlijk is de grote-nieuws Safari "supercookie"-bug niet het enige beveiligingslek dat in deze reeks updates is gepatcht: er zijn ook tal van andere, maar serieuzere bugs gepatcht.
Er zijn geen updates voor iOS 12 of iOS 14, de vorige twee officiële versies van Apple's iDevice-platform, maar er zijn bulkpatches voor zowel Catalina als Big Sur, de vorige twee macOS-versies:
- macOS Big Sur 11.6.3. Zie beveiligingsbulletin HT213055.
- macOS Catalina-beveiligingsupdate 2022-001. Zie beveiligingsbulletin HT213056.
Deze beveiligingsupdates kunnen als cruciaal worden beschouwd, gezien het aantal bugs voor het uitvoeren van externe code (RCE) die, in theorie tenminste, zouden kunnen worden gebruikt zonder uw toestemming om geheime bewakingssoftware te installeren, malware te implanteren, gegevens te stelen, uw apparaat in het geheim te jailbreaken en meer.
Inderdaad, op iOS 15, iPadOS 15, Monterey 12 en BigSur 11 wordt een van de RCE-bugs die mogelijk controle op kernelniveau geven - meestal de ergste soort RCE-bug die je kunt krijgen - vermeld met de doorgaans ingetogen waarschuwing van Apple dat het bedrijf "is op de hoogte van een melding dat dit probleem mogelijk actief is misbruikt."
In gewoon Nederlands vertalen we die woorden als volgt: “Dit is een zero-day-bug. Er doet al een in-the-wild exploit de ronde.” (Simpel gezegd: patch nu, want de boeven zitten hier al op.)
Wat te doen?
Zoals we hierboven al zeiden, is de vergelijking hier heel eenvoudig: Zero-day kernel hole in the wild -> Patch nu.
De nieuwe versienummers waar u op moet letten, staan hierboven vermeld.
Nogmaals: op een Mac is het Apple-menu > Over deze Mac > Software-update… en op een iDevice is het Instellingen > Algemeen > software bijwerken.
Stel niet uit; doe het vandaag!
(En vergeet niet dat er op oudere Macs waarop Monterey 12 niet draait twee updates moeten worden geïnstalleerd: een voor het besturingssysteem in het algemeen en een tweede specifiek voor WebKit en Safari.)
