Apple fordert macOS-, iPhone- und iPad-Benutzer dringend auf, diese Woche umgehend entsprechende Updates zu installieren, die Korrekturen für zwei Zero-Days unter aktivem Angriff enthalten. Die Patches sind für Schwachstellen, die es Angreifern ermöglichen, beliebigen Code auszuführen und letztendlich Geräte zu übernehmen.
Patches sind für betroffene Geräte verfügbar, die ausgeführt werden iOS 15.6.1 und macOS Monterey 12.5.1. Patches beheben zwei Fehler, die sich im Wesentlichen auf jedes Apple-Gerät auswirken, auf dem entweder iOS 15 oder die Monterey-Version seines Desktop-Betriebssystems ausgeführt werden können, so die von Apple am Mittwoch veröffentlichten Sicherheitsupdates.
Einer der Fehler ist ein Kernel-Bug (CVE-2022-32894), die sowohl in iOS als auch in macOS vorhanden ist. Laut Apple handelt es sich um ein „Out-of-Bounds-Schreibproblem, das durch eine verbesserte Überprüfung der Grenzen behoben wurde“.
Die Schwachstelle ermöglicht es einer Anwendung, beliebigen Code mit Kernel-Privilegien auszuführen, so Apple, das in gewohnt vage Weise sagte, es gebe einen Bericht, dass es „möglicherweise aktiv ausgenutzt wurde“.
Der zweite Fehler wird als WebKit-Bug identifiziert (verfolgt als CVE-2022-32893), bei dem es sich um ein Out-of-Bounds-Schreibproblem handelt, das Apple mit einer verbesserten Bounds-Überprüfung behoben hat. Der Fehler ermöglicht die Verarbeitung von in böser Absicht erstellten Webinhalten, die zur Ausführung von Code führen können, und wurde laut Apple auch als aktiv ausgenutzt. WebKit ist die Browser-Engine, die Safari und alle anderen Browser von Drittanbietern antreibt, die auf iOS funktionieren.
Pegasus-ähnliches Szenario
Die Entdeckung beider Fehler, über die über die Offenlegung von Apple hinaus kaum mehr bekannt ist, wurde einem anonymen Forscher zugeschrieben.
Ein Experte äußerte sich besorgt, dass die neuesten Apple-Fehler „Angreifern effektiv vollen Zugriff auf das Gerät gewähren könnten“, könnten sie eine erstellen Pegasus-ähnlich Szenario ähnlich dem, in dem nationalstaatliche APTs Ziele beschossen mit Spyware hergestellt von der israelischen NSO Group durch Ausnutzung einer iPhone-Schwachstelle.
„Für die meisten Leute: Software bis zum Feierabend aktualisieren“, twitterte Rachel Tobac, CEO von SocialProof Security, über die Zero-Days. „Wenn das Bedrohungsmodell erhöht ist (Journalist, Aktivist, Ziel von Nationalstaaten usw.): Jetzt aktualisieren“, warnte Tobac.
Zero-Days gibt es zuhauf
Die Fehler wurden diese Woche zusammen mit anderen Nachrichten von Google enthüllt, dass es war patchen sein bisher fünfter Zero-Day in diesem Jahr für seinen Chrome-Browser, ein willkürlicher Code-Ausführungsfehler, der aktiv angegriffen wird.
Die Nachricht von noch mehr Schwachstellen von Top-Tech-Anbietern, die von Bedrohungsakteuren bombardiert werden, zeigt, dass es trotz der größten Bemühungen von Top-Tech-Unternehmen, ständige Sicherheitsprobleme in ihrer Software zu beheben, ein harter Kampf bleibt, bemerkte Andrew Whaley, Senior Technical Director bei Promon, ein norwegisches Unternehmen für App-Sicherheit.
Die Fehler in iOS seien besonders besorgniserregend angesichts der Allgegenwart von iPhones und der völligen Abhängigkeit der Benutzer von mobilen Geräten für ihr tägliches Leben, sagte er. Die Pflicht, diese Geräte zu schützen, liegt jedoch nicht nur bei den Anbietern, sondern auch bei den Benutzern, sich der bestehenden Bedrohungen bewusster zu sein, stellte Whaley fest.
„Obwohl wir uns alle auf unsere mobilen Geräte verlassen, sind sie nicht unverwundbar, und als Benutzer müssen wir genauso auf der Hut sein wie bei Desktop-Betriebssystemen“, sagte er in einer E-Mail an Threatpost.
Gleichzeitig sollten Entwickler von Apps für iPhones und andere Mobilgeräte ihrer Technologie eine zusätzliche Ebene von Sicherheitskontrollen hinzufügen, damit sie angesichts der häufig auftretenden Fehler weniger auf die Sicherheit des Betriebssystems angewiesen sind, so Whaley.
„Unsere Erfahrung zeigt, dass dies nicht genug geschieht, wodurch Banken und andere Kunden möglicherweise anfällig werden“, sagte er.
- Apple iPhone und iPad
- Apple-Schwachstellen
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Hacks
- Kaspersky
- Malware
- McAfee
- Mobile Sicherheit
- News
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- Bedrohungsbeitrag
- VPN
- Sicherheitslücken
- Website-Sicherheit
- Zephyrnet
