Apple schließt Zero-Day-Lücken in iPhones und iPads

Apple hat ein wichtiges Sicherheitsupdate für iPhones und iPads veröffentlicht. Es schließt zwei schwerwiegende Zero-Day-Lücken. Nach Angaben des Unternehmens werden sie bereits aktiv von Hackern eingesetzt.

Die erste Zero-Day-Lücke steckt im Kernel von iOS und iPadOS. Der aktuellen Sicherheitswarnung zufolge kann ein Angreifer mit Kernel-Rechten den Speicherschutz des Kernels umgehen. Auslöser ist offenbar ein unzureichende Validierung von Eingaben.

Auch die zweite bereits Hackern bekannte Schwachstelle betrifft eine kritische Funktion von Apple-Geräten, nämlich RTKit. Dabei handelt es sich um Apples Real Time Operating System, das auch einigen von Apples proprietären Chips läuft – unter anderem auf Co-Prozessoren der M-Prozessoren. Auch hier ist es möglich, den Speicherschutz des Kernels zu umgehen.

Darüber hinaus sind die Bedienungshilfen und der Privatsphäremodus des Browsers Safari angreifbar. Die Bedienungshilfen geben unter Umständen vertrauliche Standortdaten an unberechtigte Apps weiter. Und der Privatsphäremodus gibt offenbar gesperrte Tabs preis, falls ein Wechsel zwischen Tab-Gruppen erfolgt.

Apple weist auch darauf hin, dass das Update mehr als die im Security Bulletin gelisteten vier Schwachstellen in iOS und iPadOS stopf. „Weitere CVE-Einträge folgen in Kürze“, heißt es in der Sicherheitswarnung. Möglicherweise hält Apple diese Einträge zurück, weil sie weitere Apple-Produkte oder auch Produkte von Drittanbietern betreffen, für die noch keine Patches zur Verfügung stehen.

Nutzer von iPhones und iPads sollten zeitnah auf die fehlerbereinigten Versionen iOS 17.4 beziehungsweise iPadOS 17.4 umsteigen. Außerdem aktualisiert Apple iOS 16 und iPadOS 16 auf die Version 16.7.6, um Nutzer vor Angriffen auf die Kernel-Zero-Day-Lücke zu schützen.