Apple stopft 15 Sicherheitslöcher in iOS und iPadOS

Apple hat seine Mobilbetriebssysteme iOS und iPadOS auf die Version 17.5 aktualisiert. Das Update enthält neben neuen Funktionen vor allem Fixes für 15 Sicherheitslücken. Darunter sind auch sehr schwerwiegende Anfälligkeiten, die das Ausführen von Schadcode mit Kernel-Rechten erlauben.

Aufgrund eines Speicherfehlers können Angreifer beispielsweise die Kernelerweiterung AppleAVD dazu bringen, beliebigen Code mit Kernel-Rechten auszuführen. Dasselbe gilt auch für eine Schwachstelle im Kernel, die auch zum Absturz einer Anwendung führen kann.

Die Sicherheitsfunktion Find My wiederum erlaubt es unter Umständen einer schädlichen App, den Standort eines Nutzers zu ermitteln. Apple räumt ein, dass diese Daten in älteren OS-Versionen nicht an einem „sicheren Ort“ gespeichert wurden. Auch die Karten-App erlaubt fälschlicherweise Lesezugriffe auf sensible Standortdaten.

Die Screenshot-Funktion kann missbraucht werden, um Inhalte von Sperrbildschirm aus zu teilen. Hier behebt Apple ein Problem mit den erteilten Berechtigungen. Darüber hinaus sind die Komponenten AppleMobileFileintegrity, AVEVideoEncoder, Libsystem, MarketplaceKit, Notes, RemoteViewServices, Shortcuts, Sync Services, Voice Control und WebKit angreifbar.

Auf für Nutzer älterer iPhones und iPads steht ein Sicherheitsupdate zur Verfügung. Sie erhalten zwar nur zwei Fixes, darunter ist allerdings einer für eine Zero-Day-Lücke. Betroffen sind Apple-Geräte mit iOS oder iPadOS 16. Sie sollten möglichst zeitnah auf die neue Version 16.7.8 umsteigen.