Apple hat zwei Zero-Day-Fehler behoben, die aktiv gegen Benutzer mit iPhones, Macs und iPad-Geräten ausgenutzt wurden.
Die Fehler hätten es Angreifern ermöglichen können, die Geräte des Opfers zu übernehmen und ihnen vollen Zugriff auf die Endpunkte zu geben, sagten Experten.
„Apple ist sich eines Berichts bewusst, dass dieses Problem möglicherweise aktiv ausgenutzt wurde“, sagte der Gigant aus Cupertino in einem Advisory (öffnet in neuem Tab) mit den Fixes veröffentlicht.
Lange Liste betroffener Geräte
Die beiden Fehler werden als CVE-2023-28206 und CVE-2023-28205 verfolgt. Ersteres ist eine IOSurface Out-of-Bounds-Schreibschwachstelle, die es Angreifern ermöglichte, Daten zu beschädigen, Apps und Geräte zum Absturz zu bringen und Code aus der Ferne auszuführen. Worst-Case-Szenario – ein Bedrohungsakteur könnte eine bösartige App pushen, die es ihm ermöglicht, beliebigen Code mit Kernel-Privilegien auf dem Zielendpunkt auszuführen.
Letzteres ist eine WebKit-Nutzung nach einer kostenlosen Schwachstelle mit ähnlichen Folgen – Datenkorruption und Ausführung willkürlichen Codes. Bei diesem Fehler besteht das Worst-Case-Szenario darin, die Opfer zum Besuch einer bösartigen Website zu verleiten, was zur Remote-Code-Ausführung führt.
Die Fehler wurden in der Veröffentlichung von iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 und Safari 16.4.1 behoben. Wenn Sie sich also Sorgen über diese Schwachstellen machen, stellen Sie sicher, dass Sie Ihre Systeme auf die neueste Version bringen so schnell wie möglich.
Apple hat eine Liste anfälliger Geräte veröffentlicht, darunter das iPhone 8 und neuer, alle iPad Pros, iPad Air der 3. Generation und neuer, iPad der 5. Generation und neuer, iPad mini der 5. Generation und neuer sowie alle macOS Ventura-Geräte.
Apple sagte, es sei sich bewusst, dass Bedrohungsakteure die Zero-Days in freier Wildbahn missbrauchen, diskutierte jedoch nicht die Details. BleepingComputer spekuliert jedoch, dass die Angreifer staatlich gefördert sein könnten, da die Fehler von Forschern entdeckt wurden, die normalerweise nach staatlich geförderten Spielern suchen.
Die Forscher, die die Schwachstellen gefunden haben, sind Clément Lecigne von Googles Threat Analysis Group und Donncha Ó Cearbhaill vom Security Lab von Amnesty International. Die Lücken würden als Teil einer Exploit-Kette ausgenutzt, hieß es.
Über: Piepender Computer (öffnet in neuem Tab)