iPhones, iPads und Mac-Computer betroffen

Apple behebt zwei Zero-Day-Schwachstellen

Uhr
von Dejan Wäckerlin und rja

Apple veröffentlicht Updates, um zwei kritische Schwachstellen in seinen Betriebssystemen zu beheben. Die Sicherheitslücken betreffen iPads, iPhones und Mac-Computer.

(Source: peach_adobe - stock.adobe.com)
(Source: peach_adobe - stock.adobe.com)

Apple hat Notfall-Updates veröffentlicht, um zwei Zero-Day-Schwachstellen zu beheben. Die zwei Sicherheitslücken (CVE-2023-42916 und CVE-2023-42917) befinden sich in der Webkit-Browser-Engine, wie das Unternehmen auf seiner Support-Seite schreibt. Behoben ist die Schwachstelle in iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2 und Safari 17.1.2.

Die erste Lücke ermöglicht es Angreifern auf Websites, mittels eines "Out-of-Bounds"-Lesebugs Zugang zu sensiblen Daten zu erlangen. Diese Sicherheitslücke haben Hacker bereits auf iOS-Betriebssystemen mit Versionsnummern vor 16.7.1 ausgenutzt, wie es weiter heisst. Das Unternehmen habe diese Lücke mittels einer verbesserten Input-Validierung behoben.

Bei der zweiten Lücke handelt es sich um einen Speicherfehlerbug auf verwundbaren Geräten, das mittels Websites ausgenutzt würde, wobei Angreifer beliebigen Code auf dem Gerät des Opfers ausführen könnten. Der Konzern soll das Problem durch verbessertes "Locking" (Zugangssperre zu Speicheradressen) gelöst haben.

Folgende Apple-Geräte sind laut dem Unternehmen von den Sicherheitslücken betroffen:

  • iPhone XS und sämtliche danach erschienene Modelle.
  • Sämtliche iPads ab der sechsten Generation:
    • iPad Minis ab der fünften Generation
    • iPad Airs ab der dritten Generation
    • iPad Pros ab der ersten Generation mit Ausnahme der 12.9" iPad Pros, die von der zweiten Generation an betroffen sind.
  • Mac-Computer mit den Betriebssystemen Monterey, Ventura, Sonoma (18. bis 20. Version des macOS-Betriebssystems).

Nicht die erste Sicherheitslücke bei Apple

CVE-2023-42916 und CVE-2023-42917 sind die 19. und 20. Zero-Day-Schwachstellen, die laut "Bleepingcomputer" Apple dieses Jahr bereits behoben hat. So hat Apple erst diesen Oktober eine gravierende Zero-Day-Lücke bei iPhones und iPads geschlossen, nachdem das Unternehmen schon diesen September Zero-Day-Fehler bei mehreren seiner Betriebssysteme gepatcht hatte.

Nicht nur das eigene Betriebssystem, sondern auch Apps von dritten können ein Sicherheitsrisiko darstellen. Apple hat diesen Sommer mehr als eine Million solcher Programme von seinem App-Store entfernt. Mehr dazu finden Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
xUFCavAy