Notfall-Patch: Apple schließt drei Zero-Day-Lücken

Apple hat mehrere außerplanmäßige Updates für seine Betriebssysteme iOS, iPadOS und macOS veröffentlicht. Sie schließen bis zu drei Zero-Day-Lücken, die als schwerwiegend einzustufen sind. Unbefugte können unter Umständen aus der Ferne Schadcode einschleusen und ausführen. Apple sind zudem Berichte bekannt, wonach die Schwachstellen bereits aktiv von Hackern ausgenutzt werden.

Die erste Zero-Day-Lücke steckt im Kernel und erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Darüber hinaus sind schädliche Apps in der Lage, die Signatur-Prüfung des Betriebssystems zu umgehen. Für die dritte aktiv ausgenutzte Anfälligkeit ist die Browserengine WebKit verantwortlich. Sie ermöglicht besagte Remotecodeausführung.

Aktuelle Angriffe gegen iOS 16

Die aktuell offenbar zielgerichteten Attacken richten sich laut Apple gegen iOS 16.6 und früher. Betroffen ist aber neben iOS 16 auf iOS 17. Nutzer sollten möglichst zeitnah auf die fehlerbreinigten Versionen iOS und iPadOS 16.7 sowie 17.0.1 umsteigen.

Die Kernel-Lücke und auch der Fehler bei der Signaturprüfung treten zudem unter macOS 13 Ventura auf. Beider werden mit dem Update auf die Version 13.6 beseitigt. Zudem sollten Nutzer von macOS Monterey das Update auf die Version 12.7 installieren. Es stopft das Loch im Kernel.

Entdeckt wurden alle drei Zero-Day-Lücken von Bill Marczak vom Citizen Lab der University of Toronto sowie von Maddie Stone, die für Googles Threat Analysis Group arbeitet. Laut Citizen Lab wurden die Schwachstellen benutzt, um die kommerzielle Spyware Predator gegen einen ägyptischen Politiker einzusetzen. Der Angriff erfolgte über gefälschte SMS- und WhatsApp-Nachrichten.