Download
Beveilingsadvies; NCSC-2022-0542
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Zero-day kwetsbaarheden verholpen in Apple macOS, iOS
en iPadOS
Advisory ID : NCSC-2022-0542
Versie : 1.00
Kans : medium
CVE ID : CVE-2022-32893, CVE-2022-32894
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Administrator/Root rechten)
(Remote) code execution (Gebruikersrechten)
Uitgiftedatum : 20220818
Toepassing :
Versie(s) :
Platform(s) : Apple iOS
Apple iPadOS
Apple macOS
Beschrijving
Apple heeft in een tussentijdse update twee zero-day (0day)
kwetsbaarheden verholpen in macOS, iOS en iPadOS. Een kwaadwillende
kan de kwetsbaarheden misbruiken voor het uitvoeren van willekeurige
code.
De ernstigste kwetsbaarheid, met kenmerk CVE-2022-32894, maakt
uitvoer van code op kernelniveau mogelijk. Misbruik van deze
kwetsbaarheid kan alleen via een malafide applicatie op het
kwetsbare systeem.
De kwetsbaarheid met kenmerk CVE-2022-32893 maakt uitvoer van code
op gebruikersniveau mogelijk.
Apple maakt melding op de hoogte te zijn dat beide kwetsbaarheden op
beperkte schaal actief zijn misbruikt. Het is niet uit te sluiten
dat de kwetsbaarheden in combinatie zijn gebruikt, waardoor
kwaadwillenden in staat zijn om op afstand willekeurige code uit te
voeren op kernelniveau.
Apple heeft verder geen inhoudelijke details gedeeld. Er is geen
publieke Proof-of-Conceptcode bekend.
Mogelijke oplossingen
Apple heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
macOS 12.5.1, iOS 15.6.1 en iPadOS 15.6.1. Deze updates worden via
het automatisch update mechanisme beschikbaar gesteld. Zie
onderstaande links voor meer informatie.
https://support.apple.com/en-us/HT213412
https://support.apple.com/en-us/HT213413
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
wsDVAwUBYv4jSRypWqw/ZiuAAQoZCgwAruFYbA+UBP+K1S64qD7i6S9TLxa9z5Yk
MGeH6nh8ADGs62PjvCGeIv8iofEibQGpaPsSn1E92fmAAg3PBpnZeccqED96nh1/
b6D5wsdvzu/xcAxNDtKEzLgFyau18oPbdL3u+9dDExbxS1RS9haBb/jh7ANAa7th
eMYl+dkRU5lFUTzflVJ9dWJHWXcZaveyqZcRE7oJOewrJCZV7xjgzQZ+zCVgNoy0
zVyzAFTEVY2RloYvogTeGoelXL9YIjsmnKBzQwGlPpOgI4FnQt6mvU6OWdpVOPJt
KPBGusyx5yA7cSWxLM5jewbb3zDqKGN+cr6TRSx/xng9PYtwqsAjoZuMPfOr7QfQ
B2NoRQQfswIIXDItOAgmZXCtP+VWE5K4J5vY1xViuRVggkFiqGDTWbRaoudrHn3q
iMpAxxRrGR5hTw1BC3GBC3hbe11Dwz4D8OdudPV3NNtyy+jnsL55gxLg3SwHyboB
7Bbfl1se+/9bcL+/ZbbklxrH2XHLXsrV
=bSLX
-----END PGP SIGNATURE-----
