Laut The Hacker News hat das neue Update von Apple zwei Zero-Day-Schwachstellen gepatcht, die seit 2019 in der mobilen Überwachungskampagne Operation Triangulation verwendet wurden. Es ist unklar, welche Organisation hinter dieser Kampagne steckt.
Apple sagte, dass diese beiden Schwachstellen (CVE-2023-32434 und CVE-2023-32435) möglicherweise in Versionen vor iOS 15.7 aktiv ausgenutzt worden seien, und wies darauf hin, dass drei Kaspersky-Forscher, Georgy Kucherin, Leonid Bezvershenko und Boris Larin, sie gemeldet hätten.
Russische Anbieter von Cybersicherheit haben Spyware analysiert, die in einer Zero-Click-Angriffskampagne zum Einsatz kam. Diese zielte über die iMessages-App auf iOS-Geräte ab und enthielt einen Anhang, der eine Remote Code Execution (RCE)-Schwachstelle ausnutzte.
Der Exploit ist darauf ausgelegt, zusätzliche Komponenten herunterzuladen, um Root-Rechte auf dem Gerät zu erlangen. Anschließend wird eine Hintertür im Speicher installiert und iMessages gelöscht, um Spuren der Infektion zu beseitigen.
Das Implantat namens TriangleDB hinterlässt nach einem Neustart des Geräts keine Spuren. Das Programm kann eine Vielzahl von Daten erfassen und verfolgen. TriangleDB kann mit dem Dateisystem des Geräts interagieren (erstellen, ändern, extrahieren und löschen), Prozesse verwalten, Einträge extrahieren, um Anmeldeinformationen zu sammeln, und die Geolokalisierung des Opfers überwachen …
Neues Update behebt 9 Zero-Day-Sicherheitslücken in Apple-Produkten
Kaspersky hat außerdem ein Dienstprogramm namens „triangle_check“ veröffentlicht, mit dem Unternehmen die Backups von iOS-Geräten scannen und nach Anzeichen einer Kompromittierung auf ihren Geräten suchen können.
Apple hat außerdem einen dritten Zero-Day-Fehler, CVE-2023-32439, gepatcht, der anonym gemeldet wurde. Dieser Exploit ermöglicht es Hackern, beliebigen Code auszuführen, wenn ein Browser bösartige Webinhalte besucht.
Updates sind für iOS/iPadOS 16.5.1-Plattformen für iPhone 8 und höher, iPad Pro, iPad Air 3, iPad Gen 5 und iPad mini Gen 5 und höher verfügbar. Ältere Modelle wie iPhone SE, iPhone 6s, iPod Touch Gen 7, iPad Air 2... werden ebenfalls auf iOS 15.7.7 und iPadOS 15.7.7 aktualisiert.
Im Bereich Wearables hat Apple watchOS 9.5.2 für die Series 4 und höher sowie watchOS 8.1.1 für die Apple Watch Series 3 bis Watch SE veröffentlicht. Der Safari-Browser wurde auf macOS Monterey ebenfalls auf Version 16.5.1 aktualisiert.
Mit dem neuesten Update hat Apple seit Jahresbeginn insgesamt neun Zero-Day-Schwachstellen in seinen Produkten behoben.
[Anzeige_2]
Quellenlink
Kommentar (0)