Apple veröffentlicht Notfall-Update zur Behebung einer neuen Zero-Day-Schwachstelle

Apple veröffentlicht Notfall-Sicherheitsupdates, um eine neue Zero-Day-Sicherheitslücke zu beheben, die in Angriffen auf iPhone- und iPad-Benutzer ausgenutzt wird. Die Sicherheitslücke (CVE-2023-42824) wird durch eine Schwachstelle im XNU-Kernel verursacht, die es lokalen Angreifern ermöglicht, Privilegien auf nicht gepatchten iPhones und iPads zu eskalieren.

Apple veröffentlicht Notfall-Update zur Behebung einer neuen Zero-Day-Schwachstelle

5. Oktober 2023     Kategorie: IT & Sicherheit
Apple emergency update fixes new zero-day used to hack iPhones.jpg

Obwohl Apple angibt, das Sicherheitsproblem in iOS 17.0.3 und iPadOS 17.0.3 behoben zu haben, hat das Unternehmen noch nicht bekannt gegeben, wer die Schwachstelle entdeckt und gemeldet hat.

Die Liste der betroffenen Geräte ist ziemlich umfangreich und umfasst:
  • iPhone XS und später
  • iPad Pro 12,9 Zoll 2. Generation und später
  • iPad Pro 10,5 Zoll & iPad Pro 11 Zoll 1. Generation und später
  • iPad Air 3. Generation und später
  • iPad 6. Generation und später
  • sowie iPad mini 5. Generation und später

Apple hat auch einen Zero-Day-Fehler behoben, der als CVE-2023-5217 verfolgt wird und durch einen Stapelüberlauf in der VP8-Codierung der Open-Source-Bibliothek libvpx verursacht wird. Dies könnte nach erfolgreicher Ausnutzung zur Ausführung beliebigen Codes führen.

Der libvpx-Bug wurde zuvor von Google im Webbrowser Chrome und von Microsoft in den Produkten Edge, Teams und Skype gepatcht.

CVE-2023-5217 wurde von dem Sicherheitsforscher Clément Lecigne entdeckt, der Teil von Googles Threat Analysis Group (TAG) ist, einem Team von Sicherheitsexperten, die oft Zero-Days in von Regierungen unterstützten gezielten Spionagesoftware-Angriffen auf besonders gefährdete Personen entdecken.

CVE-2023-42824 ist die 17. Zero-Day-Schwachstelle, die in Angriffen ausgenutzt wurde und von Apple seit Beginn des Jahres behoben wurde.

Apple hat auch kürzlich drei andere Zero-Day-Bugs (CVE-2023-41991, CVE-2023-41992 und CVE-2023-41993) behoben, die von Citizen Lab und Google TAG-Forschern gemeldet und in Spionagesoftware-Angriffen zur Installation der Predator-Spionagesoftware von Cytrox ausgenutzt wurden.

Citizen Lab hat zwei weitere Zero-Days (CVE-2023-41061 und CVE-2023-41064) veröffentlicht, die von Apple letzten Monat behoben wurden und als Teil einer Zero-Click-Exploit-Kette (BLASTPASS) verwendet wurden, um vollständig gepatchte iPhones mit der Pegasus-Spionagesoftware der NSO Group zu infizieren.

Seit Januar 2023 hat Apple insgesamt 17 Zero-Days behoben, die zur Ausnutzung von iPhones und Macs genutzt wurden, darunter:
  1. zwei Zero-Days (CVE-2023-37450 und CVE-2023-38606) im Juli
  2. drei Zero-Days (CVE-2023-32434, CVE-2023-32435 und CVE-2023-32439) im Juni
  3. drei weitere Zero-Days (CVE-2023-32409, CVE-2023-28204 und CVE-2023-32373) im Mai
  4. zwei Zero-Days (CVE-2023-28206 und CVE-2023-28205) im April
  5. und ein weiterer WebKit-Zero-Day (CVE-2023-23529) im Februar

Das heutige Update auf iOS 17.0.3 behebt auch ein bekanntes Problem, das dazu führt, dass iPhones mit iOS 17.0.2 und niedriger überhitzen.

"Dieses Update bietet wichtige Fehlerbehebungen, Sicherheitsupdates und behebt ein Problem, das dazu führen kann, dass das iPhone wärmer läuft als erwartet", so Apple.
 
+ Multi-Zitat Zitieren
Auf dieses Thema antworten