Apple veröffentlicht Notfall-Sicherheitsupdates für iPhone, Mac und iPad
Apple hat am Freitag Notfall-Sicherheitsupdates veröffentlicht, um zwei neue Zero-Day-Schwachstellen zu beheben, die zur Kompromittierung von iPhones, Macs und iPads ausgenutzt wurden. "Apple ist sich eines Berichts bewusst, dass dieses Problem möglicherweise aktiv ausgenutzt wurde", sagte das Unternehmen, als es die Probleme in Sicherheitswarnungen beschrieb.
Die erste Sicherheitslücke (verfolgt als CVE-2023-28206) ist eine IOSurfaceAccelerator Out-of-Bounds-Write, die zu einer Datenkorruption, einem Absturz oder einer Codeausführung führen kann.
Eine erfolgreiche Ausnutzung ermöglicht es Angreifern, eine bösartig erstellte App zu verwenden, um beliebigen Code mit Kernel-Privilegien auf gezielten Geräten auszuführen.
Die zweite Zero-Day (CVE-2023-28205) ist eine WebKit-Schwäche nach der Verwendung, die Datenkorruption oder beliebige Codeausführung ermöglicht, wenn freigegebener Speicher wiederverwendet wird.
Diese Schwachstelle kann ausgenutzt werden, indem man die Ziele dazu bringt, bösartige Webseiten unter der Kontrolle von Angreifern zu laden, was zu Codeausführung auf kompromittierten Systemen führen könnte.
Die beiden Zero-Day-Schwachstellen wurden in iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 und Safari 16.4.1 mit verbesserter Eingabevalidierung und Speicherverwaltung behoben.
Apple sagt, dass die Liste der betroffenen Geräte ziemlich umfangreich ist und unter anderem folgende umfasst:
Obwohl Apple sagt, dass es sich bewusst ist, dass Berichte über Ausnutzungen im Umlauf sind, hat das Unternehmen noch keine Informationen zu diesen Angriffen veröffentlicht.
Es hat jedoch bekannt gegeben, dass die beiden Schwachstellen von Clément Lecigne von Googles Threat Analysis Group und Donncha Ó Cearbhaill von Amnesty Internationals Security Lab gemeldet wurden, nachdem sie sie als Teil einer Angriffskette im Umlauf entdeckt hatten.
Beide Organisationen veröffentlichen regelmäßig Kampagnen, die Zero-Day-Bugs ausnutzen, die von staatlich unterstützten Bedrohungsakteuren eingesetzt werden, um kommerzielle Spionagesoftware auf Smartphones und Computern von Politikern, Journalisten, Dissidenten und anderen Personen mit hohem Risiko weltweit einzusetzen.
Letzte Woche haben Google TAG und Amnesty International zwei jüngste Angriffsserien aufgedeckt, bei denen Exploit-Ketten von Android-, iOS- und Chrome-Zero-Day- und N-Day-Schwachstellen eingesetzt wurden, um Spionagesoftware zu installieren.
Obwohl die heute behobenen Zero-Days höchstwahrscheinlich nur in hoch gezielten Angriffen verwendet wurden, wird die Installation dieser Notfall-Updates so schnell wie möglich empfohlen, um potenzielle Angriffsversuche zu blockieren.
Im Februar hat Apple eine weitere WebKit-Zero-Day-Schwachstelle (CVE-2023-23529) behoben, die in Angriffen verwendet wurde, um OS-Abstürze auszulösen und beliebigen Code auf anfälligen iPhones, iPads und Macs auszuführen.
Die erste Sicherheitslücke (verfolgt als CVE-2023-28206) ist eine IOSurfaceAccelerator Out-of-Bounds-Write, die zu einer Datenkorruption, einem Absturz oder einer Codeausführung führen kann.
Eine erfolgreiche Ausnutzung ermöglicht es Angreifern, eine bösartig erstellte App zu verwenden, um beliebigen Code mit Kernel-Privilegien auf gezielten Geräten auszuführen.
Die zweite Zero-Day (CVE-2023-28205) ist eine WebKit-Schwäche nach der Verwendung, die Datenkorruption oder beliebige Codeausführung ermöglicht, wenn freigegebener Speicher wiederverwendet wird.
Diese Schwachstelle kann ausgenutzt werden, indem man die Ziele dazu bringt, bösartige Webseiten unter der Kontrolle von Angreifern zu laden, was zu Codeausführung auf kompromittierten Systemen führen könnte.
Die beiden Zero-Day-Schwachstellen wurden in iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 und Safari 16.4.1 mit verbesserter Eingabevalidierung und Speicherverwaltung behoben.
Apple sagt, dass die Liste der betroffenen Geräte ziemlich umfangreich ist und unter anderem folgende umfasst:
- iPhone 8 und später,
- iPad Pro (alle Modelle),
- iPad Air der 3. Generation und später,
- iPad der 5. Generation und später,
- iPad mini der 5. Generation und später,
- und Macs, die macOS Ventura ausführen.
Drei Zero-Days seit Jahresbeginn behoben
Obwohl Apple sagt, dass es sich bewusst ist, dass Berichte über Ausnutzungen im Umlauf sind, hat das Unternehmen noch keine Informationen zu diesen Angriffen veröffentlicht.
Es hat jedoch bekannt gegeben, dass die beiden Schwachstellen von Clément Lecigne von Googles Threat Analysis Group und Donncha Ó Cearbhaill von Amnesty Internationals Security Lab gemeldet wurden, nachdem sie sie als Teil einer Angriffskette im Umlauf entdeckt hatten.
Beide Organisationen veröffentlichen regelmäßig Kampagnen, die Zero-Day-Bugs ausnutzen, die von staatlich unterstützten Bedrohungsakteuren eingesetzt werden, um kommerzielle Spionagesoftware auf Smartphones und Computern von Politikern, Journalisten, Dissidenten und anderen Personen mit hohem Risiko weltweit einzusetzen.
Letzte Woche haben Google TAG und Amnesty International zwei jüngste Angriffsserien aufgedeckt, bei denen Exploit-Ketten von Android-, iOS- und Chrome-Zero-Day- und N-Day-Schwachstellen eingesetzt wurden, um Spionagesoftware zu installieren.
Obwohl die heute behobenen Zero-Days höchstwahrscheinlich nur in hoch gezielten Angriffen verwendet wurden, wird die Installation dieser Notfall-Updates so schnell wie möglich empfohlen, um potenzielle Angriffsversuche zu blockieren.
Im Februar hat Apple eine weitere WebKit-Zero-Day-Schwachstelle (CVE-2023-23529) behoben, die in Angriffen verwendet wurde, um OS-Abstürze auszulösen und beliebigen Code auf anfälligen iPhones, iPads und Macs auszuführen.