Apple werkt aan patch voor iPad

Apple stelt in de tweede week van augustus 2010 een patch beschikbaar om het besturingssysteem van iPhones, iPads en iPod Touch-apparaten te beschermen tegen aanvallen via pdf-documenten. Deze aanvallen zijn mogelijk door de manier waarop het mobiele besturingssysteem van Apple omgaat met Compact Font Format (CFF)-lettertypes.

De aanvallen verlopen via iOS 4-applicaties die gebruikmaken van FreeType. Dat is software om lettertypes op het scherm te tonen. Door het openen van een pdf-bestand waarin een een speciaal ontworpen CFF-lettertype is verwerkt, kan FreeType misbruikt worden om ongevraagd code uit te voeren. Daarbij wordt Apple’s beveiligingsmechanisme omzeild, waarbij applicaties afzonderlijk van elkaar draaien binnen aparte ‘sandboxes’. Zo kunnen kwaadwillenden toegang krijgen tot de kern van het besturingssysteem en de controle overnemen over iPhone, iPad of iPod Touch.

De kwetsbaarheid kwam aan het licht via de website  jailbreakme.com, een website waarmee Apple-klanten hun apparaten kunnen ‘jaikbreaken’, zodat ze ook applicaties kunnen installeren die niet uit Apple’s iStore komen. Beveiligingsexperts verwachten echter dat er zeer binnenkort meer kwaadaardige toepassingen van de kwetsbaarheid zullen opduiken. Antivirussoftwareleverancier F-Secure verwacht dat dat nog deze week gebeurt.

Antivirussoftware
Antivirusbedrijven zoals F-Secure grijpen de kwetsbaarheid aan om Apple aan te sporen medewerking te verlenen aan het schrijven van antivirussoftware voor iOS 4. Zulke software bestaat nu nog niet. Beveiligingsexperts gingen er in het algemeen van uit dat daar nog geen aanleiding voor bestond. Zo bracht Forrester vorige week nog een rapport uit waarin het onderzoeksbureau betoogde dat IOS4 geen antivirussoftware nodig heeft, onder meer door het hierboven beschreven ‘sandbox’-principe.