Apple stelt een patch beschikbaar om het besturingssysteem van iPhones, iPads en iPod Touch-apparaten te beschermen tegen aanvallen via pdf-documenten. De patch wordt uitgevoerd via een update van het besturingssysteem van de mobiele apparaten. De patch is vanaf 11 augustus 2010 beschikbaar.
Wanneer gebruikers hun iPhone of iPod Touch met hun computer verbinden, wordt hen geadviseerd een update voor iOS 4.0.2 te installeren. Voor iPad is er ook een update voor IOS 3.2.2.om het lek te dichten. Alhoewel er nog steeds geen malware is gesignaleerd die misbruik maakt van het beveiligingsprobleem, adviseren beveiligingsexperts de patch toch zo snel mogelijk te installeren.
Pdf-bestanden
Aanvallen verlopen via iOS-applicaties die gebruik maken van FreeType. Dat is software om lettertypes op het scherm te tonen. Door het openen van een pdf-bestand waarin een een speciaal ontworpen CFF-lettertype is verwerkt, kan FreeType misbruikt worden om ongevraagd code uit te voeren. Daarbij wordt Apple’s beveiligingsmechanisme omzeild, waarbij applicaties afzonderlijk van elkaar draaien binnen aparte ‘sandboxes’. Zo kunnen kwaadwillenden toegang krijgen tot de kern van het besturingssysteem en de controle overnemen over iPhone, iPad of iPod Touch.
De kwetsbaarheid kwam aan het licht via de website jailbreakme.com, een website waarmee Apple-klanten hun apparaten kunnen ‘jaikbreaken’, zodat ze ook applicaties kunnen installeren die niet uit Apple’s App Store komen. Beveiligingsexperts verwachten echter dat er zeer binnenkort meer kwaadaardige toepassingen van de kwetsbaarheid zullen opduiken.
