Apple hat gestern einen Notfallpatch für eine schon aktiv ausgenutzte Sicherheitslücke veröffentlich müssen. Von dem Problem betroffen sind iPhones, iPads und Macs.

Es handelt sich um eine Zeo-Day-Lücke

Passend zum Valentinstag hat Apple ein Sicherheitsupdate veröffentlicht, das eine Zero Day Lücke(CVE-2023-23529) behebt. Angreifer nutzen die Sicherheitslücke laut Apple schon aktiv aus, um darüber Apple-Geräte zu hacken. Das Problem steckt sowohl in iPhones als auch in iPads und Macs.

Verursacher ist Apples Browserengine Webkit

Die Sicherheitslücke steckt in Apples Browser-Engine WebKit. Es handelt sich um einen Confusion-Fehler, der jetzt durch verbesserte Checks behoben wurde.

Die Schwachstelle konnte mit speziell präparierten Webinhalten zur Ausführung von beliebigem Code genutzt werden. Wie immer nennt Apple noch keine weiteren Details.

Die neuen, sicheren Versionen

Das Problem wurde mit macOS Ventura 13.2.1iOS und iPadOS 16.3.1 beseitigt. Mit watchOS 9.3.1 sowie tvOS 16.3.2 wurden zwar auch Sicherheitsupdates veröffentlicht, zu denen liegen bisher aber noch keine Detailinformationen vor.

Für macOS 11 und 12 wurden außerdem auch neue Safari-Versionen (16.3.1) veröffentlicht. Auch Apples smarter Lautsprecher Homepod hat ein entsprechendes Update erhalten.

Auch Probleme in MacOS, iOS und iPadOS beseitigt

Die Updates für iOS, iPadOS und MacOS enthalten auch noch einen Fix für eine Use-after-free-Sicherheitslücke (CVE-2023-23514) im Kernel, die Apps das Ausführen beliebigen Codes mit den Privilegien des Kernels ermöglichen könne, erklärte Apple in seinem entsprechenden Sicherheitshinweis.

Diese Sicherheitslücke wurde mit einem verbesserten Speichermanagement entschärft. Entdeckt und gemeldet wurde sie von Xinru Chi of Pangu Lab und Ned Williamson von Google Project Zero.

Apple bedankte sich auch beim Citizen Lab der Universität in Toronto/Kanada für ihre Unterstützung, die allerdings nicht näher erklärt wird. Die Benutzer sollten die Updates möglichst schnell installieren, auch wenn Zero Days ja eher für gezielte Angriffe genutzt werden…