Apple schließt kritische Sicherheitslücken in iOS und macOS
Apple hat Sicherheitsupdates für verschiedene Produkte wie iOS, iPadOS, macOS, tvOS, watchOS und den Safari-Webbrowser veröffentlicht, um eine Reihe von Sicherheitslücken zu beheben.
Die neuen Apple-Patches umfassen Updates für 12 Sicherheitslücken in iOS und iPadOS, die AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing und WebKit betreffen. macOS Sonoma 14.2 wiederum behebt 39 Mängel, darunter sechs Fehler, welche die ncurses-Bibliothek betreffen.
Bemerkenswert unter den Fehlern ist CVE-2023-45866, eine kritische Sicherheitslücke in Bluetooth, die es einem Angreifer in einer privilegierten Netzwerkposition ermöglichen könnte, Tastatureingaben durch das Spoofing einer Tastatur einzuschleusen.
Die Schwachstelle wurde vor wenigen Tagen von einem SkySafe-Sicherheitsforscher aufgedeckt. Sie wurde in iOS 17.2, iPadOS 17.2 und macOS Sonoma 14.2 mit verbesserten Prüfungen behoben, so der iPhone-Hersteller.
Ebenfalls von Apple veröffentlicht wurde Safari 17.2. Die neue Version enthält Korrekturen für zwei WebKit-Schwachstellen – CVE-2023-42890 und CVE-2023-42883, die zur Ausführung von beliebigem Code und einer Denial-of-Service (DoS)-Bedingung führen können. Das Update ist für Macs mit macOS Monterey und macOS Ventura verfügbar.
iOS 17.2 und iPadOS 17.2 haben nicht nur einen Fehler bei Siri behoben, der es jemandem mit physischem Zugriff erlauben könnte, sensible Daten zu sehen. Sie enthalten auch eine neue Sicherheitsverbesserung namens „Contact Key Verification“ für iMessage. Diese Verbesserung sorgt dafür, dass die Privatsphäre von iMessage-Gesprächen besser geschützt wird, indem Nutzer die Kontakte verifizieren können, mit denen sie kommunizieren.
Laut Apple ermöglicht die „iMessage Contact Key Verification“ den Benutzergeräten, Konsistenznachweise selbst zu überprüfen. Dadurch wird sichergestellt, dass alle Geräte eines Benutzers im Einklang mit dem Schlüsselverzeichnis sind. Diese Verbesserungen sollen helfen, das Schlüsselverzeichnis und den Transparenzdienst vor Kompromittierungen zu schützen und können gemeinsame Ansichten, die von beiden Diensten präsentiert werden, erkennen.
Gleichzeitig mit den anderen Updates hat Apple auch iOS 16.7.3 und iPadOS 16.7.3 veröffentlicht, um acht Sicherheitslücken zu schließen. Davon sind zwei mit WebKit verbunden (CVE-2023-42916 und CVE-2023-42917), die von Apple Anfang des Monats als aktiv ausgenutzt gemeldet wurden.
Diese beiden Schwachstellen wurden auch in tvOS 17.2 und watchOS 10.2 behoben. Es gibt noch keine weiteren Details darüber, wie diese Schwachstellen möglicherweise ausgenutzt werden oder wer dahintersteckt.