Vanavond gelanceerd door het bedrijf Apple, iOS 9.3.5 lost drie grote beveiligingsproblemen op die zijn gebruikt om gegevens uit iDevices te extraheren. We hebben het over exploits die worden gebruikt in software die is uitgebracht door NSO Group, een bedrijf gespecialiseerd in het extraheren van gegevens uit Apple-producten.
Deze drie kwetsbaarheden van iOS 9.3.5 ze lieten het Israëlische bedrijf NSO Group de locatie van een iPhone of iPad-tablet monitoren zonder dat de gebruiker het wist, sms-berichten of e-mails lezen, telefoongesprekken afluisteren, alles opnemen wat er rondom de terminals gebeurt, wachtwoorden van het apparaat halen, de locatie van de gebruiker en haal het volledige contactenboek op.
Volgens een Amerikaanse publicatie verkocht de NSO Group software aan overheden die deze gebruikten om journalisten en dissidenten te bespioneren, en iOS 9.3.5 Zorg dat het lukt. Apple hoorde tien dagen geleden van de kwetsbaarheden via Bill Marczak en John Scott Railton, de eerste een onderzoeker bij de Faculty of Monks for Global Affairs, de tweede een medewerker van Lookout, een bedrijf in San Francisco.
We weten niet hoeveel geld Apple voor deze kwetsbaarheden heeft betaald, maar het gaat waarschijnlijk om enkele honderdduizenden dollars die op de rekeningen van de twee terecht zijn gekomen. Apple heeft onlangs een programma gelanceerd om de openbaarmaking van bestaande kwetsbaarheden in iOS te belonen, waarbij tot 200.000 dollar wordt aangeboden aan degenen die eraan meewerken.
Apple zei het volgende: "We raden al onze klanten aan altijd de nieuwste versie van iOS te downloaden om zichzelf te beschermen tegen mogelijke beveiligingslekken."
Dat gezegd hebbende weten we nu wat iOS 9.3.5 brengt, dus we hebben het over een update die door iedereen geïnstalleerd zou moeten worden, want je hebt niets te verliezen als je geen jailbreak gebruikt. U kunt iOS 9.3.5 installeren met behulp van het bestaande Software Update-systeem in het gedeelte Algemeen van de toepassing Instellingen, Configuraties.
UPDATE: Deze kwetsbaarheden zijn opgelost in iOS beta 10 7, en dit verklaart waarom die update een week geleden werd uitgebracht.
“Kernel
Beschikbaar voor: iPhone 4s en hoger, iPad 2 en hoger, iPod touch (5e generatie) en hoger
Impact: een toepassing kan mogelijk het kernelgeheugen vrijgeven
Beschrijving: een validatieprobleem is verholpen door een verbeterde invoeropschoning.
CVE-2016-4655: Citizen Lab en Lookout
pit
Beschikbaar voor: iPhone 4s en hoger, iPad 2 en hoger, iPod touch (5e generatie) en hoger
Impact: Een aanvraag kan staat om willekeurige code uit te voeren met de kernel privileges zijn
Beschrijving: Een herinnering was Corruption probleem door een verbeterde afhandeling van het geheugen aangepakt.
CVE-2016-4656: Citizen Lab en Lookout
WebKit
Beschikbaar voor: iPhone 4s en hoger, iPad 2 en hoger, iPod touch (5e generatie) en hoger
Impact: een bezoek aan een kwaadwillig vervaardigde website leiden tot uitvoeren van willekeurige code april
Beschrijving: Een herinnering was Corruption probleem door een verbeterde afhandeling van het geheugen aangepakt.
CVE-2016-4657: Citizen Lab en uitkijk”