Zero Day: Apple veröffentlicht Notfallpatch

Apple hat zum Valentinstag ein Sicherheitsupdate veröffentlicht, das eine Zero Day (CVE-2023-23529) behebt. Angreifer nutzen die Sicherheitslücke laut Apple bereits aktiv aus, um Apple-Geräte zu hacken. Betroffen sind iPhones, iPads und Macs.

Bei der Sicherheitslücke steckt in Apples Browser-Engine WebKit. Demnach handelte es sich um einen Confusion-Fehler, der durch verbesserte Checks behoben wurde. Sie konnte mittels speziell präparierter Webinhalte zu einer Ausführung von beliebigem Code genutzt werden. Weitere Details nennt Apple nicht.

Die Lücke wurde mit macOS Ventura 13.2.1, iOS und iPadOS 16.3.1 geschlossen. Mit watchOS 9.3.1 sowie tvOS 16.3.2 wurden ebenfalls Sicherheitsupdates veröffentlicht, zu denen bisher jedoch keine Detailinformationen vorliegen. Für macOS 11 und 12 wurden zudem neue Safari-Versionen (16.3.1) veröffentlicht. Auch Apples smarter Lautsprecher Homepod erhält ein entsprechendes Update.

Weitere Sicherheitslücke in MacOS, iOS und iPadOS geschlossen

Die Updates für iOS, iPadOS und MacOS enthalten zudem einen Fix für eine Use-after-free-Sicherheitslücke (CVE-2023-23514) im Kernel. Diese könne Apps das Ausführen beliebigen Codes mit den Privilegien des Kernels ermöglichen, erklärte Apple in einem entsprechenden Sicherheitshinweis.

Der Sicherheitslücke wurde mit einem verbesserten Speichermanagement begegnet. Entdeckt und gemeldet wurde diese von Xinru Chi of Pangu Lab und Ned Williamson von Google Project Zero.

Apple bedankt sich zudem beim Citizen Lab der Universität in Toronto/Kanada für ihre Unterstützung, die allerdings nicht näher spezifiziert wird. Apple-Nutzer sollten die Updates möglichst schnell installieren, auch wenn Zero Days meist primär für gezielte Angriffe genutzt werden.