Apple heeft vanavond beveiligingsupdates uitgebracht voor een actief aangevallen zerodaylek in iOS en macOS. De kwetsbaarheid, aangeduid als CVE-2023-23529, is aanwezig in WebKit en laat een aanvaller willekeurige code op het systeem uitvoeren. Alleen het bezoeken van een malafide of gecompromitteerde website of het te zien krijgen van een besmette advertentie is hiervoor voldoende.

Dergelijke aanvallen worden ook wel een drive-by download genoemd. Details over de aanvallen zijn niet door Apple gegeven en ook de naam van de onderzoeker die het probleem aan het techbedrijf rapporteerde is niet bekendgemaakt. WebKit is de door Apple ontwikkelde browser-engine. Alle browsers op iOS en iPadOS zijn verplicht om van WebKit gebruik te maken.

Het zerodaylek is verholpen in iOS 16.3.1, iPadOS 16.3.1, macOS Ventura 13.2.1 en Safari 16.3.1 voor macOS Big Sur en macOS Monterey. Updaten kan via iTunes, de updatefunctie en de Mac App Store. Vorig jaar kwam Apple ook met patches voor meerdere zerodays in WebKit.

Bron: Security.nl