iOS 12.4.1 uitgebracht: dicht ernstig beveiligings­lek

Door: Raymon Mens - 7 reacties
Afbeelding: OMT/Marijn van der Werf

Apple heeft maandagavond iOS 12.4.1 uitgebracht. Deze update dicht een ernstig beveiligings­lek dat door Apple zelf veroorzaakt was. De iPhone-maker had het namelijk in iOS 12.3 gedicht, maar introduceerde het lek in iOS 12.4 per ongeluk opnieuw.

Met iOS 12.4.1 is iedere iPhone en iPad weer veilig. Naast deze update zijn ook tvOS 12.4.1 en watchOS 5.3.1 uitgebracht. Ook daar wordt de zogenaamde ‘Use-after-free-bug’ in gedicht. Deze kon door kwaadwillenden gebruikt worden om code buiten de sandbox uit te voeren.

iOS 12.4.1 als laatste iOS 12-update

Aanvankelijk dachten we dat iOS 12.4 de laatste iOS 12-update ooit zou zijn. Het nieuwe iOS 13 komt er immers binnen enkele weken aan. Door zijn eigen fout was Apple echter gedwongen om vandaag alsnog een extra update uit te brengen. Hoe het lek opnieuw in iOS geïntroduceerd kon worden, is niet bekend. Wel duidelijk is dat jailbreakers hun kans schoon zagen en een jailbreak voor iOS 12.4 hebben gemaakt.

Het gaat om een zogenaamde use-after-free-bug. Daarbij wordt misbruik gemaakt van werkgeheugen dat door iOS werd gebruikt, maar niet op de juiste manier is leeggemaakt. Kwaadwillenden kunnen via dat stukje geheugen malafide code op een iPhone of iPad uitvoeren. Daarbij krijgt het rechten buiten de sandbox, omdat het apparaat denkt dat het nog iets is dat bij het systeem hoort.

Laatste update iPhone 6

Dit is nu echt de laatste update voor de iPhone 6, iPad mini 3 en iPad mini 2. Deze toestellen zullen in september geen update naar iOS 13 meer krijgen. Dat wil zeggen dat je vanaf september geen beveiligingsupdates meer krijgt. Ook zullen steeds meer apps stoppen met werken omdat een oudere iOS-versie niet langer ondersteund wordt.

 

Reacties

7 reacties
  • Profielfoto
    Frans

    Dit is toch wel een forse blunder van Apple. Het doet me afvragen of ze hun versiebeheer en testprocedure wel op orde hebben. Zo’n beveiligingslek had met een volledige systeemtest naar boven moeten komen!

  • Profielfoto
    koen

    Lang leve de bèta testers die nooit problemen rapporteren 🤠

  • Profielfoto
    /dev/enschede

    Frans op 26 augustus 2019 23:00
    Dit is toch wel een forse blunder van Apple. Het doet me afvragen of ze hun versiebeheer en testprocedure wel op orde hebben. Zo’n beveiligingslek had met een volledige systeemtest naar boven moeten komen!

    Of in de unit- of regressietests

  • Profielfoto
    pruus

    stelletje prutsers…

  • Profielfoto
    Ruud Ravenhorst

    pruus op 27 augustus 2019 07:27
    stelletje prutsers…

    Als je zelf nog nooit iets over het hoofd hebt gezien tijdens testen, heb je gewoon nog niet vaak genoeg getest.

  • Profielfoto
    Laribij

    Ben ik de enige die plots last heeft met wachtwoorden en sleutelhanger?

  • Profielfoto
    Patrick

    Ik ben dol op Apple. Maar ik zat laatst naar het speelgoed van zoontje te kijken, een nokia 8210 en 3650. Gooien, op de grond laten vallen en weer in elkaar zetten. Niks kapot. Dit is leven zoveel van deze mobieltjes en die doen het gewoon nog… zucht kon ik dat ook maar van de oudere toestellen van Apple zeggen.