Apple-Patches nutzten Sicherheitslücken im Kernel und Webkit aus • The Register

Apple hat Korrekturen für mehrere Sicherheitslücken veröffentlicht, die seine iPhones, iPads, macOS-Computer sowie Apple TV und Uhren betreffen, und warnt davor, dass einige dieser Fehler bereits ausgenutzt wurden.

Hier ist eine kurze Liste aller Sicherheitsupdates, die am späten Montagnachmittag veröffentlicht wurden:

Am Dienstag schlug auch die Cybersecurity and Infrastructure Security Agency (CISA) der US-Regierung Alarm und warnte, dass „ein Angreifer einige dieser Schwachstellen ausnutzen könnte, um die Kontrolle über ein betroffenes Gerät zu übernehmen“. CISA forderte Benutzer und Administratoren dringend auf, die Software-Updates anzuwenden und zu überprüfen, ob die automatischen Patch-Systeme ordnungsgemäß funktionieren. Wir unterstützen diese Meinung.

Einer der Fehler, CVE-2023-32409, in Apples WebKit-Browser-Engine betrifft iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation) und iPod touch (7. Generation). Dies wurde von Clément Lecigne von der Threat Analysis Group (TAG) von Google und Donncha Ó Cearbhaill vom Security Lab von Amnesty International entdeckt.

„Ein Remote-Angreifer kann möglicherweise aus der Sandbox für Webinhalte ausbrechen“, heißt es in der Empfehlung von iGiant. „Apple ist sich eines Berichts bewusst, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.“

Apple gibt an, das Problem durch verbesserte Grenzprüfungen behoben zu haben. Und obwohl der Technologieriese nie Details darüber preisgibt, wie oder von wem die Sicherheitslücke ausgenutzt wurde, scheinen die Bug-Jäger, die die Software entdeckt haben, darauf hinzuweisen, dass sie dazu verwendet wird, Spyware auf den Geräten der Opfer zu installieren.

TAG verfolgt mehr als 30 kommerzielle Spyware-Hersteller, die Exploits und Überwachungssoftware verkaufen. Journalisten, Aktivisten und politische Dissidenten geraten häufig ins Visier von Snoopware, an deren Untersuchung Amnesty großes Interesse hat.

In derselben Reihe von Sicherheitsupdates gab Apple an, einen Fehler auf Kernelebene, CVE-2023-38606, für iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation) und iPad Air 2 behoben zu haben , iPad mini (4. Generation) und iPod touch (7. Generation). Es scheint, dass dieser Fehler in freier Wildbahn ausgenutzt wurde.

„Eine App kann möglicherweise den sensiblen Kernel-Status ändern“, warnte der iPhone-Hersteller. „Apple ist sich eines Berichts bewusst, dass dieses Problem möglicherweise aktiv gegen iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden.“

Apple schreibt den Kaspersky-Forschern Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko und Boris Larin die Entdeckung dieses Fehlers zu, der der Kernel-Schwachstelle ähnelt, die zur Infektion von iPhones mit TriangleDB-Spyware verwendet wird und ebenfalls vom oben genannten Team aufgedeckt wurde.

Dieser neueste Kernel-Fehler, CVE-2023-38606, betrifft auch mehrere andere Apple-Produkte, darunter Macs mit macOS Ventura, Monterey und Big Sur, die Apple Watch Series 4 und höher, Apple TV 4K (alle Modelle) und Apple TV HD.

Eine weitere Schwachstelle in WebKit, in tvOS 16, watchOS 9.6, macOS Ventura, iOS 16 und iPadOS 16, die als CVE-2023-37450 verfolgt wird, könnte ebenfalls ausgenutzt worden sein, bevor Apple Patches veröffentlicht hat, wurde uns mitgeteilt. Der von einem anonymen Forscher gemeldete Fehler tritt bei der Verarbeitung von Webinhalten auf und kann zur Ausführung willkürlichen Codes führen. Patches sind für alle Apple TV 4K-Modelle, Apple TV HD-Boxen, Apple Watch Series 4 und höher sowie Macs mit Ventura verfügbar.

Zuvor hat Apple das gleiche Problem bei einigen iPhones und iPads durch eine „schnelle Sicherheitsreaktion“ in iOS 16.5.1 (c) und iPadOS 16.5.1 (c) behoben. Dabei handelt es sich um die neue Art von Patches, mit deren Einführung Apple im Mai begonnen hat, mit gemischten Ergebnissen.

Die Patches sollen automatisch heruntergeladen und angewendet werden, um Geräte sofort vor Missbrauch zu schützen und so den üblichen Systemaktualisierungszyklus zu vermeiden, den Benutzer möglicherweise aufschieben oder verpassen und so ihr Kit angreifbar machen. ®

Senden Sie uns Neuigkeiten