Apple schließt Zero-Day-Lücke in iOS, iPadOS und macOS

Apple hat Sicherheitsupdates für iPhones, iPads und Macs veröffentlicht. Sie schließen eine schwerwiegende Zero-Day-Lücke, die das Einschleusen und ausführen von Schadcode ermöglicht. Apple liegen nach eigenen Angaben Berichte vor, wonach die Schwachstelle bereits aktiv von Hackern ausgenutzt wird.

Betroffen sind iOS 16.3 sowie iPadOS 16.3 und früher und macOS 13.2 und früher. Da der Fehler in der Browserengine WebKit steckt, ist auch Safari 16.3 und früher angreifbar. Den Versionshinweisen zufolge muss ein Angreifer sein Opfer lediglich dazu verleiten, speziell gestaltete Webinhalte mit WebKit beziehungsweise Safari anzuzeigen. Unter iOS und iPadOS sollten also auch Browser von Drittanbietern für eine Remotecodeausführung anfällig sein, da sie aufgrund der Beschränkungen von Apple über keine eigene Browserengine verfügen.

Apple stopft auch kritische Kernel-Lücke

Apple-Nutzer sollten also möglichst zeitnah die verfügbaren Updates auf iOS 16.3.1, iPadOS 16.3.1 und macOS 13.2.1 installieren. Für Nutzer von macOS Big Sur und macOS Monterey stellt Apple zudem die fehlerbereinigte Safari-Version 16.3.1 zur Verfügung.

Eine weitere Schwachstelle, die im Kernel steckt, betrifft iOS, iPadOS und macOS. Hier kann eine speziell gestaltete App benutzt werden, um beliebigen Code mit Kernel-Rechten auszuführen. Auslöser ist ein Use-after-free-Bug, den Apple nach eigenen Angaben mit einem verbesserten Speichermanagement beseitigt.

Nutzer von macOS Ventura erhalten zudem einen weiteren Fix für die Komponente Shortcuts. Er soll verhindern, dass Apps ungeschützte Nutzerdaten ausspähen. Hierfür wurde der Umgang mit temporären Dateien überarbeitet.

iOS und iPadOS erhalten zudem kleinere Fehlerbehebungen. Unter anderem wurden Problem mit den iCloud-Einstellungen und Siri behoben. Darüber hinaus teilte Apple mit, dass die Unfallerkennung auf iPhone-14- und iPhone-14-Pro-Modellen optimiert wurde.