Apple hat ein wichtiges Sicherheitsupdate für iPhones und iPads veröffentlicht. Es schließt zwei schwerwiegende Zero-Day-Lücken. Nach Angaben des Unternehmens werden sie bereits aktiv von Hackern eingesetzt.
Die erste Zero-Day-Lücke steckt im Kernel von iOS und iPadOS. Der aktuellen Sicherheitswarnung zufolge kann ein Angreifer mit Kernel-Rechten den Speicherschutz des Kernels umgehen. Auslöser ist offenbar ein unzureichende Validierung von Eingaben.
Auch die zweite bereits Hackern bekannte Schwachstelle betrifft eine kritische Funktion von Apple-Geräten, nämlich RTKit. Dabei handelt es sich um Apples Real Time Operating System, das auch einigen von Apples proprietären Chips läuft – unter anderem auf Co-Prozessoren der M-Prozessoren. Auch hier ist es möglich, den Speicherschutz des Kernels zu umgehen.
Darüber hinaus sind die Bedienungshilfen und der Privatsphäremodus des Browsers Safari angreifbar. Die Bedienungshilfen geben unter Umständen vertrauliche Standortdaten an unberechtigte Apps weiter. Und der Privatsphäremodus gibt offenbar gesperrte Tabs preis, falls ein Wechsel zwischen Tab-Gruppen erfolgt.
Apple weist auch darauf hin, dass das Update mehr als die im Security Bulletin gelisteten vier Schwachstellen in iOS und iPadOS stopf. „Weitere CVE-Einträge folgen in Kürze“, heißt es in der Sicherheitswarnung. Möglicherweise hält Apple diese Einträge zurück, weil sie weitere Apple-Produkte oder auch Produkte von Drittanbietern betreffen, für die noch keine Patches zur Verfügung stehen.
Nutzer von iPhones und iPads sollten zeitnah auf die fehlerbereinigten Versionen iOS 17.4 beziehungsweise iPadOS 17.4 umsteigen. Außerdem aktualisiert Apple iOS 16 und iPadOS 16 auf die Version 16.7.6, um Nutzer vor Angriffen auf die Kernel-Zero-Day-Lücke zu schützen.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…