iOS, iPad OS, WatchOS und MacOS: Apple behebt aktiv ausgenutzte Schwachstellen
Apple hat gestern kritische Sicherheitsupdates für seine jüngst veröffentlichten Betriebssysteme iOS 17 und iPad OS 17 und deren Vorgänger sowie verschiedene Versionen von WatchOS und MacOS bereitgestellt. Diese beheben insgesamt drei Zero-Day-Schwachstellen, die allesamt bereits von Angreifern ausgenutzt worden sein sollen. Entdecker der Lücken sind laut Apple(öffnet im neuen Fenster) Bill Marczak vom Citizen Lab an der Munk School der University of Toronto (Kanada) sowie Maddie Stone von der Threat Analysis Group von Google.
Eine der Sicherheitslücken, die als CVE-2023-41991 registriert ist, ermöglicht es einem böswilligen Akteur, mit einer Malware die Signaturvalidierung von Apple zu umgehen. Bei CVE-2023-41992 handelt es sich um eine Kernel-Schwachstelle, durch die Angreifer ihre Rechte auf einem Zielsystem ausweiten können. Die dritte Sicherheitslücke (CVE-2023-41993) bezieht sich auf die Webkit-Browser-Engine. Sie ermöglicht die Ausführung von Schadcode durch den Besuch einer bösartigen Webseite.
Nutzer sollten dringend updaten
Geschlossen hab Apple die Lücken nach eigenen Angaben durch die Beseitigung eines Problems mit der Zertifikatsvalidierung sowie durch verbesserte Kontrollen. Darüber hinaus betont der Hersteller, ihm sei ein Bericht bekannt, nach dem alle drei Schwachstellen möglicherweise bereits aktiv auf iPhones mit Systemversionen vor iOS 16.7 ausgenutzt wurden. Weiterführende Informationen zu den Angriffen teilt Apple allerdings nicht.
Nutzern wird daher dringend empfohlen, auf iOS 17.0.1/ 16.7(öffnet im neuen Fenster) , iPad OS 17.0.1/16.7, WatchOS 10.0.1(öffnet im neuen Fenster) / 9.6.3(öffnet im neuen Fenster) sowie MacOS Ventura 13.6(öffnet im neuen Fenster) respektive Monterey 12.7(öffnet im neuen Fenster) zu aktualisieren. Betroffen scheinen demnach das iPhone 8 und neuer, die Apple Watch Series 4 und neuer, das iPad Pro (alle Modelle), iPad Air (3. Generation und neuer), iPad (5. Generation und neuer) und iPad mini (5. Generation und neuer) zu sein.
Jüngste Zero-Day-Schwachstellen ließen Pegasus auf das iPhone
Erst vor zwei Wochen hat Apple durch Sicherheitsupdates zwei andere Zero-Day-Schwachstellen in iOS, iPad OS, MacOS und WatchOS geschlossen. Diese wurden zuvor ausgenutzt, um über eine Zero-Click-Exploit-Kette namens Blastpass ohne jegliche Nutzerinteraktion die von der NSO Group entwickelte kommerzielle Spionagesoftware Pegasus auf iPhones von Zielpersonen zu installieren. Auch damals waren Forscher des Citizen Lab an der Aufdeckung der Sicherheitslücken beteiligt.