Categories: MobileMobile OS

Apple schließt Zero-Day-Lücken in iPhones und iPads

Apple hat ein wichtiges Sicherheitsupdate für iPhones und iPads veröffentlicht. Es schließt zwei schwerwiegende Zero-Day-Lücken. Nach Angaben des Unternehmens werden sie bereits aktiv von Hackern eingesetzt.

Die erste Zero-Day-Lücke steckt im Kernel von iOS und iPadOS. Der aktuellen Sicherheitswarnung zufolge kann ein Angreifer mit Kernel-Rechten den Speicherschutz des Kernels umgehen. Auslöser ist offenbar ein unzureichende Validierung von Eingaben.

Auch die zweite bereits Hackern bekannte Schwachstelle betrifft eine kritische Funktion von Apple-Geräten, nämlich RTKit. Dabei handelt es sich um Apples Real Time Operating System, das auch einigen von Apples proprietären Chips läuft – unter anderem auf Co-Prozessoren der M-Prozessoren. Auch hier ist es möglich, den Speicherschutz des Kernels zu umgehen.

Darüber hinaus sind die Bedienungshilfen und der Privatsphäremodus des Browsers Safari angreifbar. Die Bedienungshilfen geben unter Umständen vertrauliche Standortdaten an unberechtigte Apps weiter. Und der Privatsphäremodus gibt offenbar gesperrte Tabs preis, falls ein Wechsel zwischen Tab-Gruppen erfolgt.

Apple weist auch darauf hin, dass das Update mehr als die im Security Bulletin gelisteten vier Schwachstellen in iOS und iPadOS stopf. „Weitere CVE-Einträge folgen in Kürze“, heißt es in der Sicherheitswarnung. Möglicherweise hält Apple diese Einträge zurück, weil sie weitere Apple-Produkte oder auch Produkte von Drittanbietern betreffen, für die noch keine Patches zur Verfügung stehen.

Nutzer von iPhones und iPads sollten zeitnah auf die fehlerbereinigten Versionen iOS 17.4 beziehungsweise iPadOS 17.4 umsteigen. Außerdem aktualisiert Apple iOS 16 und iPadOS 16 auf die Version 16.7.6, um Nutzer vor Angriffen auf die Kernel-Zero-Day-Lücke zu schützen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

6 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago