Apple behebt Zero-Day-Sicherheitslücke, die unter iOS ausgenutzt wird

Laut The Hacker News handelt es sich bei dem gepatchten Fehler mit der Bezeichnung CVE-2023-42824 um eine Kernel-Schwachstelle, die es einem lokalen Angreifer ermöglichen könnte, seine Berechtigungen zu erhöhen. Apple gibt an, entsprechende Berichte für Versionen vor iOS 16.6 erhalten zu haben und das Problem durch die Verbesserung der Testschritte behoben zu haben.

Wie üblich sind Einzelheiten zur Art der Angriffe und zur Identität der verantwortlichen Bedrohungsakteure nach wie vor unbekannt. Das neue Update von Apple behebt auch den Fehler CVE-2023-5217, der die WebRTC-Komponente betrifft und den Google zuvor als Pufferüberlauf in der libvpx-Bibliothek beschrieben hatte.

Mit den Patches iOS 17.0.3 und iPadOS 17.0.3 behebt Apple nicht nur das ungewöhnliche Überhitzungsproblem der neu erschienenen iPhone 15-Serie, sondern behebt auch insgesamt 17 Zero-Day-Schwachstellen, die seit Jahresbeginn auf betroffenen Geräten aktiv ausgenutzt wurden.

Vor zwei Wochen veröffentlichte der in Cupertino ansässige Riese iOS und iPadOS 17.0.2, wodurch drei Sicherheitslücken (CVE-2023-41991, CVE-2023-41992 und CVE-2023-41993) behoben wurden, von denen bestätigt wurde, dass sie von Sicherheitsexperten aktiv ausgenutzt werden. Diese Zero-Day-Bugs wurden Anfang des Jahres von Cytrox, einem israelischen Spyware-Unternehmen, im Rahmen einer Kampagne ausgenutzt, um die Schadsoftware „Predator“ auf dem iPhone eines ehemaligen ägyptischen Parlamentsbeamten zu verbreiten.

Benutzer, die Gefahr laufen, Opfer eines Angriffs zu werden, können den Sperrmodus nutzen, mit dem Apple iOS 16 ausgestattet hat, um das Risiko einer Ausnutzung durch Spyware zu verringern.