Pijnlijk foutje: iOS 12.4 brengt ernstig beveiligingslek terug
Apple heeft met iOS 12.4 waarschijnlijk per ongeluk een ernstig beveiligingslek opnieuw geïntroduceerd. Het gaat om een ernstige kwetsbaarheid die kwaadwillenden in staat stelt om code buiten de sandbox van een iPhone of iPad uit te voeren. Het lek zat ook in iOS 12.2, maar werd in iOS 12.3 opgelost.
Hoe het lek precies terug heeft kunnen keren, is onduidelijk. Wel duidelijk is dat jailbreakers hun kans schoon zagen en meteen een jailbreak voor iOS 12.4 hebben gemaakt. Dit toont ook aan hoe ernstig het lek is. Het kan gebruikt worden om een iPhone of iPad volledig over te nemen.
Use-after-free-bug in iPhone en iPad
Het lek werd in februari aan Apple gerapporteerd en werd CVE-2019-8605 genoemd. In de release notes van iOS 12.3 is duidelijk te zien dat het opgelost is. Het gaat om een zogenaamde use-after-free-bug. Daarbij wordt misbruik gemaakt van werkgeheugen dat door iOS werd gebruikt, maar niet op de juiste manier is leeggemaakt. Kwaadwillenden kunnen via dat stukje geheugen malafide code op een iPhone of iPad uitvoeren. Daarbij krijgt het rechten buiten de sandbox, omdat het apparaat denkt dat het nog iets is dat bij het systeem hoort.
Voor consumenten is het risico relatief laag. Het lek kan niet via een website in Safari misbruikt worden, je moet er specifiek een kwaadaardige app voor downloaden. De kans dat je dat overkomt is erg klein, want Apple monitort de App Store actief. Een geluk bij een ongeluk.
iOS 12.4.1 of iOS 12.5 op komst
Doorgaans is het advies om updates die Apple beschikbaar stelt zo snel mogelijk te installeren. Zie dit als de uitzondering die de regel definitief bevestigt. Mocht je nog iOS 12.3 draaien, dan is het advies toch om te updaten. Apple heeft in de update namelijk meer dan 30 lekken wel goed gedicht.
In tegenstelling tot wat we schreven toen iOS 12.4 beschikbaar was, ziet het ernaar uit dat het niet de laatste update voor de iPhone 6 en ouder was. Apple komt om deze fout te herstellen ongetwijfeld snel met een extra update. Of dat iOS 12.4.1 of iOS 12.5 wordt, is nog even afwachten.
