Werbung
T-Shirt: Keine Zeit der Garten ruft


 

Apple stopft kritische 0-Day-Lücke in macOS, iOS, iPadOS und Safari

Meldung von doelf, Dienstag der 14.02.2023, 11:52:23 Uhr

logo

In Form eines anonymen Hinweises wurde Apple über eine kritische 0-Day-Lücke im WebKit (CVE-2023-23529) informiert, die bereits aktiv für Angriffe genutzt wird. Inzwischen gibt es Updates für macOS, iOS, iPadOS und den Webbrowser Safari, welche die Schwachstelle abdichten. Zudem hat Apple tvOS und watchOS aktualisiert, für diese Updates liegen zur Stunde aber noch keine Informationen vor. Das sofortige Einspielen der Updates scheint empfehlenswert.

Bei CVE-2023-23529 handelt es sich um eine Typenverwechslung, welche sich mit Hilfe speziell gestalteter Webinhalte auslösen lässt. Gelingt die Attacke, kann der Angreifer auf dem Gerät seines Opfers beliebigen Code ausführen. Für macOS Ventura hat Apple die Version 13.2.1 veröffentlicht, welche den Fehler dank zusätzlicher Prüfungen beseitigt. Für die älteren macOS-Versionen Big Sur und Monterey liegt Safari 16.3.1 bereit, der abgesicherte Browser verhindert Angriffe beim Surfen. iOS 16.3.1 und iPadOS 16.3.1 sichern Apples Smartphones und Tablets ab, sofern sich diese noch im Support befinden. Hinsichtlich tvOS 16.3.2 und watchOS 9.3.1 erwarten wir Ähnliches, doch hier steht die Bestätigung noch aus.

Hier die Sicherheitsinformationen zu den jeweiligen Updates:

  • macOS Ventura 13.2.1
  • iOS 16.3.1 (iPhone 8 und neuer)
  • iPadOS 16.3.1 (iPad Pro, iPad Air Generation 3 und neuer, iPad Generation 5 und neuer, iPad mini Generation 5 und neuer)
  • Safari 16.3.1
  • tvOS 16.3.2 (Apple TV 4K und Apple TV HD, aktuell noch keine Informationen verfügbar)
  • watchOS 9.3.1 (Apple Watch Series 4 und neuer, aktuell noch keine Informationen verfügbar)

macOS Ventura 13.2.1, iOS 16.3.1 und iPadOS 16.3.1 kümmern sich zudem um einen kritischen Fehler im Kernel, der die Ausführung beliebigen Codes mit Kernel-Rechten ermöglicht (CVE-2023-23514). Auslöser ist der Zugriff auf ein zuvor bereits aus dem Speicher entferntes Objekt (Use After Free). Dieses Problem wurde von Xinru Chi (Pangu Lab) und Ned Williamson (Google Project Zero) gemeldet. Darüber hinaus wurde in macOS Ventura 13.2.1 ein Shortcut-Bug (CVE-2023-23522) korrigiert, durch den Apps über unzureichend geschützte temporäre Dateien an Benutzerinformationen gelangen können. Diesen Fehler hatten Wenchao Li und Xiaolong Bai (Alibaba Group) gefunden.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]