Aktiv ausgenutzte Lücken: Apple behebt zwei schwere Sicherheitsprobleme mit iOS 16.5.1 und macOS 13.4.1
Für alle wichtigen Plattformen veröffentlichte Apple am gestrigen Abend Sicherheitsaktualisierungen. Der Konzern gab iOS 16.5.1 wie auch iOS 15.7.7 für ältere iPhone-Modelle frei – und analog dazu iPadOS 16.5.1 und iPadOS 15.7.7. Für Macs steht ab sofort macOS Ventura 13.4.1, macOS Monterey 12.6.7 wie auch macOS Big Sur 11.7.8 zum Download über die Software-Aktualisierung bereit. Für die Apple Watch veröffentlichte Apple watchOS 9.5.2 wie auch watchOS 8.8.1 für ältere Uhren-Modelle ab der Apple Watch Series 3.
Nur bei iOS 16.5.1 dokumentierte Apple eine Verbesserung: Der Apple-eigene Lightning-auf-USB-Kamera-Adapter soll mit der neuen Version wieder reibungslos arbeiten. Für alle sonstigen Aktualisierungen fand sich in den Update-Notizen nur ein allgemeiner Hinweis auf Sicherheitsverbesserungen wieder.
Zwei schwere LückenNun aktualisierte Apple aber ein
Support-Dokument und beschreibt detaillierter, welche Sicherheitsverbesserungen tatsächlich durchgeführt wurden. Hier finden sich zwei sehr kritische Lücken wieder, welche laut Apple bereits öffentlich ausgenutzt werden.
Der erste Fehler erlaubt es einer App, Programmcode mit Kernel-Privilegien auszuführen und somit die allermeisten Sicherheitsrichtlinien komplett auszuhebeln. Dieser Fehler betrifft macOS, iOS, iPadOS und watchOS und Hacker nutzen diesen laut Apple derzeit aktiv aus. Etwas merkwürdig ist, dass Apple bei allen Aktualisierungen schreibt, dass der Fehler in iOS 15.7 oder früher ausgenutzt wird – doch wahrscheinlich handelt es sich hier um eine fehlerhafte Beschreibung, denn Apple verwendet den exakt selben Passus bei macOS und watchOS.
Der zweite Fehler findet sich im Unterbau von Safari wieder: Eine Lücke in WebKit erlaubt es Webseiten, beliebigen Code auf dem iPhone, iPad oder Mac auszuführen. Durch eine fehlerhafte Überprüfung von Datentypen kommt es laut Apple zu diesem Sicherheitsmangel. Auch hier merkt Apple an, dass diese Lücke aktuell aktiv ausgenutzt wird. In watchOS ist der WebKit-Mangel nicht vorhanden, da Apple hier auf eine abgespeckte und limitierte Fassung von WebKit setzt.
Keine genaue DokumentationNoch findet sich bezüglich der beiden hinterlegten "Common Vulnerabilities and Exposures"-Nummern (CVE-2023-32434 und CVE-2023-32439) keine genaue Dokumentation der Sicherheitslücken. Dies hat den Zweck, dass erst die allermeisten Nutzer die Gelegenheit haben sollen, bereitgestellten Aktualisierungen einzuspielen, bevor man die Lücken genauer beschreibt – ansonsten könnten Hacker diese Informationen ausnutzen.