Apple veröffentlicht Patches für aktiv ausgenutzte Schwachstellen
Apple hat Software-Updates für iOS, iPadOS, macOS und den Safari-Webbrowser veröffentlicht, um zwei Sicherheitslücken zu schließen, die nach eigenen Angaben in älteren Versionen der Software aktiv ausgenutzt wurden.
Beide Schwachstellen befinden sich in der WebKit-Webbrowser-Engine:
Bei CVE-2023-42916 handelt es sich um ein Out-of-Bounds-Read-Problem, das ausgenutzt werden könnte, um sensible Informationen bei der Verarbeitung von Web-Inhalten auszuspähen. Während CVE-2023-42917 einen Speicherkorruptionsfehler beschreibt, der bei der Verarbeitung von Webinhalten zur Ausführung von beliebigem Code führen kann.
Der iPhone-Hersteller hat keine zusätzlichen Informationen über die laufende Ausnutzung zur Verfügung gestellt, aber zuvor bekannt gewordene Sicherheitslücken in iOS wurden genutzt, um Spyware zu liefern, die auf hochgefährdete Personen wie Aktivisten, Dissidenten, Journalisten und Politiker abzielt.
Die Updates sind für die folgenden Geräte und Betriebssysteme verfügbar:
- iOS 17.1.2 and iPadOS 17.1.2 – iPhone XS and later, iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later, and iPad mini 5th generation and later
- macOS Sonoma 14.1.2 – Macs running macOS Sonoma
- Safari 17.1.2 – Macs running macOS Monterey and macOS Venture
Mit den jüngsten Sicherheitsbehebungen hat Apple seit Anfang 2023 nicht weniger als 19 aktiv ausgenutzte Zero-Days behoben. Dies geschieht auch einige Tage, nachdem Google Korrekturen für eine hochgradig gefährliche Schwachstelle in Chrome (CVE-2023-6345) veröffentlicht hat, die ebenfalls Gegenstand von Angriffen war und damit die siebte Zero-Day-Lücke ist, die das Unternehmen in diesem Jahr geschlossen hat.