Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een kritieke waarschuwing uitgegeven over drie beveiligingslekken in Apple-producten die actief worden misbruikt. Op 5 maart 2026 voegde de organisatie de kwetsbaarheden toe aan haar catalogus van Known Exploited Vulnerabilities (KEV).
De kwetsbaarheden betreffen geheugenbeheer- en rekenkundige problemen in meerdere Apple-platformen, waaronder macOS, iOS, iPadOS, Safari, tvOS en watchOS. Twee van de drie lekken zijn zogenoemde use-after-free-kwetsbaarheden, waarbij een programma een geheugenverwijzing blijft gebruiken nadat het geheugen al opnieuw is toegewezen. Aanvallers kunnen hier misbruik van maken om kwaadaardige code uit te voeren. Het derde lek betreft een integer overflow, waarbij een rekenoperatie een waarde oplevert die te groot is voor de beschikbare opslag, met onverwacht systeemgedrag als gevolg.
In alle drie de gevallen kunnen aanvallers de lekken misbruiken door gebruikers ertoe te verleiden speciaal vervaardigde webcontent te verwerken. Een van de kwetsbaarheden treft specifiek iOS en iPadOS en stelt een kwaadaardige app in staat code uit te voeren met kernelprivileges, waarmee een aanvaller diep in het systeem kan doordringen.
CISA geeft aan dat het vooralsnog onbekend is of de lekken worden ingezet bij ransomware-aanvallen. Het risico op willekeurige code-uitvoering en toegang op kernelniveau maakt directe actie desondanks noodzakelijk.
Op grond van Binding Operational Directive 22-01 moeten Amerikaanse federale overheidsdiensten hun systemen uiterlijk 26 maart 2026 hebben gepatcht. CISA dringt er bij alle organisaties, ook buiten de overheid, op aan de beschikbare updates zo snel mogelijk te installeren via de officiële Apple-instructies.
