-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
######################## UPDATE 1.01 #############################
Titel : Kwetsbaarheden verholpen in Apple macOS, iOS en
iPadOS
Advisory ID : NCSC-2023-0162
Versie : 1.01
Kans : medium
CVE ID : CVE-2023-28205, CVE-2023-28206
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
(Remote) code execution (Administrator/Root rechten)
(Remote) code execution (Gebruikersrechten)
Uitgiftedatum : 20230411
Toepassing : Apple Safari
Versie(s) :
Platform(s) : Apple iOS
Apple iPadOS
Apple macOS
Update
Apple heeft updates beschikbaar gesteld voor iOS en iPadOS 15 en
macOS Big Sur en Montery. Zie "Mogelijke oplossingen" voor meer
informatie.
Daarnaast is voor de kwetsbaarheid met kenmerk CVE-2023-28206
proof-of-concept-code gepubliceerd. Voor succesvol misbruik van deze
kwetsbaarheid dient een malafide applicatie te worden geïnstalleerd.
In een beheerde omgeving is het goed gebruik om het installeren van
onvertrouwde applicaties te beperken. De inschaling van dit
beveiligingsadvies blijft derhalve ongewijzigd MEDIUM/HIGH.
Beschrijving
Apple heeft kwetsbaarheden verholpen in macOS, iOS, iPadOS en
Safari. De kwetsbaarheden stellen een ongeauthenticeerde
kwaadwillende op afstand in staat om willekeurige code uit te
voeren. Apple geeft aan signalen te hebben ontvangen over actief
misbruik van de kwetsbaarheden. Organisaties wordt geadviseerd om de
beschikbaar gestelde beveiligingsupdates op korte termijn te
installeren.
De kwetsbaarheid met kenmerk CVE-2023-28205 bevindt zich in WebKit,
de browserengine die wordt gebruikt door Safari en andere apps op
Apples platformen. De kwetsbaarheid stelt een ongeauthenticeerde
kwaadwillende op afstand in staat om willekeurige code uit te
voeren. Hiertoe dient het slachtoffer te worden verleid om een
malafide webpagina te openen. Dit kan worden bereikt door
bijvoorbeeld een malafide URL naar het slachtoffer te sturen of door
een malafide advertentie op een legitieme webpagina te plaatsen.
Laatstgenoemde is een zogenaamde drive-by-download waarbij heimelijk
malafide content wordt geladen zonder dat het slachtoffer dit
doorheeft.
De kwetsbaarheid met kenmerk CVE-2023-28206 bevindt zich op
besturingssysteemniveau en is ongerelateerd aan WebKit. De
kwetsbaarheid stelt een kwaadwillende in staat om willekeurige code
uit te voeren met rechten van de kernel. Succesvol misbruik vereist
dat een malafide applicatie op het systeem wordt geïnstalleerd. In
een beheerde omgeving is het goed gebruik om het installeren van
applicaties uit onvertrouwde bron te beperken, wat de kans op
misbruik van deze kwetsbaarheid aanzienlijk verkleint.
Mogelijk zit er een ketenafhankelijkheid tussen bovengenoemde
kwetsbaarheden waarbij de kwetsbaarheden achtereenvolgens kunnen
worden misbruikt voor het volledig compromitteren van een systeem.
Apple heeft vooralsnog weinig technische details beschikbaar gesteld
waardoor de samenhang van de kwetsbaarheden onduidelijk is.
Voor de kwetsbaarheid met kenmerk CVE-2023-28206 is
proof-of-concept-code publiekelijk beschikbaar.
Mogelijke oplossingen
Apple heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
macOS 13.3.1, 12.6.5 en 11.7.6, iOS en iPadOS 16.4.1 en 15.7.5, en
Safari 16.4.1. Organisaties wordt geadviseerd om de beschikbaar
gestelde updates op korte termijn te installeren.
Voor meer informatie, zie:
macOS Ventura, Montery en Big Sur:
https://support.apple.com/en-gb/HT213721
https://support.apple.com/en-us/HT213724
https://support.apple.com/en-us/HT213725
iOS en iPadOS 16 en 15:
https://support.apple.com/en-gb/HT213720
https://support.apple.com/en-us/HT213723
Safari:
https://support.apple.com/en-gb/HT213722
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=/f0d
-----END PGP SIGNATURE-----
