NCSC | Beveiligingsadviezen
Bekijk RSS-feed

Beveiligingsadviezen

Download

Beveilingsadvies; NCSC-2021-0650

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Apple iOS en iPadOS
Advisory ID     : NCSC-2021-0650
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2018-25010, CVE-2018-25011, CVE-2018-25014,
                  CVE-2020-36328, CVE-2020-36329, CVE-2020-36330,
                  CVE-2020-36331, CVE-2021-3518, CVE-2021-30748,
                  CVE-2021-30758, CVE-2021-30759, CVE-2021-30760,
                  CVE-2021-30763, CVE-2021-30768, CVE-2021-30769,
                  CVE-2021-30770, CVE-2021-30773, CVE-2021-30774,
                  CVE-2021-30775, CVE-2021-30776, CVE-2021-30779,
                  CVE-2021-30780, CVE-2021-30781, CVE-2021-30785,
                  CVE-2021-30786, CVE-2021-30788, CVE-2021-30789,
                  CVE-2021-30791, CVE-2021-30792, CVE-2021-30795,
                  CVE-2021-30796, CVE-2021-30797, CVE-2021-30798,
                  CVE-2021-30799, CVE-2021-30800, CVE-2021-30802,
                  CVE-2021-30804
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Omzeilen van beveiligingsmaatregel
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20210722
Toepassing      :
Versie(s)       :
Platform(s)     : Apple iOS
                  Apple iPadOS

Beschrijving
   Apple heeft kwetsbaarheden verholpen in Apple iOS en iPadOS. Een
   kwaadwillende kan de kwetsbaarheden misbruiken voor het veroorzaken
   van de volgende types schade:

   * Denial-of-Service (DoS)
   * Omzeilen van beveiligingsmaatregel
   * (Remote) code execution (Gebruikersrechten)
   * Toegang tot gevoelige gegevens

   Alle beschreven kwetsbaarheden zijn alleen lokaal te misbruiken, of
   wanneer een kwaadwillende het slachtoffer weet te misleiden om een
   malafide bestand te openen of een malafide applicatie te installeren
   en starten.

   De kwetsbaarheid met kenmerk CVE-2021-3518, betreffende een fout in
   de verwerking van xml-data kan door een kwaadwillende op afstand
   worden misbruikt en kan resulteren in het uitvoeren van willekeurige
   code onder de rechten van de gebruiker.

   De kwetsbaarheid met kenmerk CVE-2021-30800 betreft een probleem in
   de WiFi. Een kwaadwillende kan de kwetsbaarheid op afstand
   misbruiken voor het veroorzaken van een Denial-of-Service, of
   mogelijk het uitvoeren van willekeurige code met rechten van de
   gebruiker. Deze kwetsbaarheid is eerder publiek beschreven en is
   eenvoudig, zonder technische hulpmiddelen uit te buiten. Misbruik
   vereist wel dat de eigenaar van het systeem automatisch en
   ongevraagd laat koppelen met willekeurig aanwezige WiFi access
   points. Dit is niet de standaard configuratie en wordt ook niet
   geadviseerd.
   Door de publieke aandacht en triviale wijze van uitbuiten wordt deze
   kwetsbaarheid ingeschaald met kans:impact HIGH/MEDIUM

Mogelijke oplossingen
   -= Apple =-
   Apple heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen. Zie ook:

   https://support.apple.com/en-us/HT212601

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=5OsO
-----END PGP SIGNATURE-----