Categories: MobileMobile OS

Apple schließt Zero-Day-Lücken in iPhones und iPads

Apple hat ein wichtiges Sicherheitsupdate für iPhones und iPads veröffentlicht. Es schließt zwei schwerwiegende Zero-Day-Lücken. Nach Angaben des Unternehmens werden sie bereits aktiv von Hackern eingesetzt.

Die erste Zero-Day-Lücke steckt im Kernel von iOS und iPadOS. Der aktuellen Sicherheitswarnung zufolge kann ein Angreifer mit Kernel-Rechten den Speicherschutz des Kernels umgehen. Auslöser ist offenbar ein unzureichende Validierung von Eingaben.

Auch die zweite bereits Hackern bekannte Schwachstelle betrifft eine kritische Funktion von Apple-Geräten, nämlich RTKit. Dabei handelt es sich um Apples Real Time Operating System, das auch einigen von Apples proprietären Chips läuft – unter anderem auf Co-Prozessoren der M-Prozessoren. Auch hier ist es möglich, den Speicherschutz des Kernels zu umgehen.

Darüber hinaus sind die Bedienungshilfen und der Privatsphäremodus des Browsers Safari angreifbar. Die Bedienungshilfen geben unter Umständen vertrauliche Standortdaten an unberechtigte Apps weiter. Und der Privatsphäremodus gibt offenbar gesperrte Tabs preis, falls ein Wechsel zwischen Tab-Gruppen erfolgt.

Apple weist auch darauf hin, dass das Update mehr als die im Security Bulletin gelisteten vier Schwachstellen in iOS und iPadOS stopf. „Weitere CVE-Einträge folgen in Kürze“, heißt es in der Sicherheitswarnung. Möglicherweise hält Apple diese Einträge zurück, weil sie weitere Apple-Produkte oder auch Produkte von Drittanbietern betreffen, für die noch keine Patches zur Verfügung stehen.

Nutzer von iPhones und iPads sollten zeitnah auf die fehlerbereinigten Versionen iOS 17.4 beziehungsweise iPadOS 17.4 umsteigen. Außerdem aktualisiert Apple iOS 16 und iPadOS 16 auf die Version 16.7.6, um Nutzer vor Angriffen auf die Kernel-Zero-Day-Lücke zu schützen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Copilot Pro: Microsoft streicht GPT Builder – nach nur drei Monaten

Die Änderung gilt zumindest für die Consumer-Version von Copilot. Die Zukunft des GPT Builder für…

11 Stunden ago

QR-Code-Phishing 3.0: Verseuchte Codes mit ASCII-Zeichen

Per HTML und ASCII nachgebaute QR-Codes umgehen die Sicherheitsmaßnahmen optischer Texterkennung.

13 Stunden ago

Malware-Ranking: Androxgh0st-Botnet breitet sich in Deutschland aus

Die seit April aktive Malware schafft es im Mai bereits auf Platz 2. Lockbit erholt…

20 Stunden ago

Monatlicher Patchday: Microsoft stopft im Juni 49 Sicherheitslöcher

Eine kritische Schwachstelle steckt in allen unterstützten Versionen von Windows und Windows Server. Sie erlaubt…

1 Tag ago

Datengetriebene Geschäftsmodelle noch immer Mangelware

Ungeachtet dessen erwartet die Hälfte der deutschen Unternehmen eine Trendwende in den kommenden zwei Jahren.

2 Tagen ago

Analyse: Jeder fünfte Cyberangriff dauert länger als 30 Tage

Gleichzeitig glauben 40 Prozent der deutschen IT-Entscheider, dass ihre Teams Cybergefahren nicht richtig einschätzen können.

2 Tagen ago