Apple veröffentlicht Notfall-Update zur Behebung einer neuen Zero-Day-Schwachstelle
Obwohl Apple angibt, das Sicherheitsproblem in iOS 17.0.3 und iPadOS 17.0.3 behoben zu haben, hat das Unternehmen noch nicht bekannt gegeben, wer die Schwachstelle entdeckt und gemeldet hat.
Die Liste der betroffenen Geräte ist ziemlich umfangreich und umfasst:
- iPhone XS und später
- iPad Pro 12,9 Zoll 2. Generation und später
- iPad Pro 10,5 Zoll & iPad Pro 11 Zoll 1. Generation und später
- iPad Air 3. Generation und später
- iPad 6. Generation und später
- sowie iPad mini 5. Generation und später
Apple hat auch einen Zero-Day-Fehler behoben, der als CVE-2023-5217 verfolgt wird und durch einen Stapelüberlauf in der VP8-Codierung der Open-Source-Bibliothek libvpx verursacht wird. Dies könnte nach erfolgreicher Ausnutzung zur Ausführung beliebigen Codes führen.
Der libvpx-Bug wurde zuvor von Google im Webbrowser Chrome und von Microsoft in den Produkten Edge, Teams und Skype gepatcht.
CVE-2023-5217 wurde von dem Sicherheitsforscher Clément Lecigne entdeckt, der Teil von Googles Threat Analysis Group (TAG) ist, einem Team von Sicherheitsexperten, die oft Zero-Days in von Regierungen unterstützten gezielten Spionagesoftware-Angriffen auf besonders gefährdete Personen entdecken.
CVE-2023-42824 ist die 17. Zero-Day-Schwachstelle, die in Angriffen ausgenutzt wurde und von Apple seit Beginn des Jahres behoben wurde.
Apple hat auch kürzlich drei andere Zero-Day-Bugs (CVE-2023-41991, CVE-2023-41992 und CVE-2023-41993) behoben, die von Citizen Lab und Google TAG-Forschern gemeldet und in Spionagesoftware-Angriffen zur Installation der Predator-Spionagesoftware von Cytrox ausgenutzt wurden.
Citizen Lab hat zwei weitere Zero-Days (CVE-2023-41061 und CVE-2023-41064) veröffentlicht, die von Apple letzten Monat behoben wurden und als Teil einer Zero-Click-Exploit-Kette (BLASTPASS) verwendet wurden, um vollständig gepatchte iPhones mit der Pegasus-Spionagesoftware der NSO Group zu infizieren.
Seit Januar 2023 hat Apple insgesamt 17 Zero-Days behoben, die zur Ausnutzung von iPhones und Macs genutzt wurden, darunter:
- zwei Zero-Days (CVE-2023-37450 und CVE-2023-38606) im Juli
- drei Zero-Days (CVE-2023-32434, CVE-2023-32435 und CVE-2023-32439) im Juni
- drei weitere Zero-Days (CVE-2023-32409, CVE-2023-28204 und CVE-2023-32373) im Mai
- zwei Zero-Days (CVE-2023-28206 und CVE-2023-28205) im April
- und ein weiterer WebKit-Zero-Day (CVE-2023-23529) im Februar
Das heutige Update auf iOS 17.0.3 behebt auch ein bekanntes Problem, das dazu führt, dass iPhones mit iOS 17.0.2 und niedriger überhitzen.
"Dieses Update bietet wichtige Fehlerbehebungen, Sicherheitsupdates und behebt ein Problem, das dazu führen kann, dass das iPhone wärmer läuft als erwartet", so Apple.
Videos zum Themenbereich
* gefundene Videos auf YouTube, anhand der Überschrift.