Apple hat heute ein wichtiges Sicherheitsupdate für drei seiner Geräte – iPad, iPhone und Mac – veröffentlicht, um zwei kritische Zero-Day-Schwachstellen auf diesen Geräten zu beheben.
Während einer der Bugs im Betriebssystemkernel lauert, wurde der andere in Apples WebKit gefunden, das von Safari als Browser-Engine verwendet wird. Da beide Tools Kernbestandteile von Apple-Geräten sind und mit vollen Berechtigungen arbeiten, stellen sie ohne Patches größeren Schaden dar. Apple hat außerdem bereits vor der Veröffentlichung des Patches eine aktive Untersuchung dieser Bugs festgestellt.
Sicherheitslücken in Apple-Geräten
Zero-Day-Bugs sind Fehler, die vom OEM noch nicht erkannt oder für die noch kein Patch veröffentlicht wurde, bevor sie von Hackern entdeckt und ausgenutzt wurden. Sie gelten als schwerwiegende Probleme, da sie den Angreifern manchmal volle Rechte einräumen und die Opfer nichts anderes tun können, als abzuwarten, bis ein offizieller Patch vom OEM eintrifft.
Ein solcher Fall hat das Apple-Ökosystem getroffen, Hier wurden zwei Zero-Day-Schwachstellen in iPhones, iPads und Macs entdeckt, die es Angreifern ermöglichen, das Zielsystem zu übernehmen und mit vollständigen Berechtigungen auszuführen. Der erste wird verfolgt als CVE-2022-32894 und ist eine Out-of-Bounds-Schreibschwachstelle im Betriebssystemkernel.
Während der zweite verfolgt wird als CVE-2022-32893 und ist eine Out-of-Bounds-Write-Schwachstelle in WebKit – einer Webbrowser-Engine, die von Apples Safari und anderen Apps für den Zugriff auf das Internet verwendet wird. Dies könnte dem Angreifer potenziell die Ausführung von Remotecode ermöglichen und das Ziel dazu bringen, eine in böswilliger Absicht erstellte Website zu besuchen.
Und da sie Angreifern die höchste Berechtigungsstufe einräumen, können sie damit machen, was sie wollen. Nachfolgend sind die von diesen beiden Fehlern betroffenen Apple-Geräte aufgeführt:
- Macs mit macOS Monterey
- iPhone 6s und höher
- iPad Pro (alle Modelle), iPad Air 2 und höher, iPad 5. Generation und höher, iPad mini 4 und höher und iPod touch (7. Generation).
Um sie abzusichern, hat Apple macOS Monterey 12.5.1, iOS 15.6.1 und iPadOS 15.6.1 veröffentlicht, um die beiden Zero-Day-Schwachstellen in diesen Geräten zu beheben. Obwohl Apple die aktive Ausnutzung dieser beiden Fehler offengelegt hat, wurden keine weiteren Details zu diesem Problem bekannt gegeben.
