Apple hat am Montag Sicherheitsupdates für iOS, iPadOS, macOS, tvOS und den Safari-Webbrowser veröffentlicht, um eine Zero-Day-Schwachstelle zu beheben, die aktiv von Angreifern ausgenutzt wird.
Das Problem, das als CVE-2024-23222 verfolgt wird, handelt sich um einen Typenkonfusionsfehler, der von einem Angreifer ausgenutzt werden kann, um eine beliebige Code-Ausführung zu erreichen, wenn bösartig gestaltetes Webinhalt verarbeitet wird. Der Technologieriese erklärte, dass das Problem durch verbesserte Überprüfungen behoben wurde.
Typenkonfusionslücken können im Allgemeinen zur Ausführung von Speicherzugriffsfehlern oder zum Absturz und zur Ausführung von beliebigem Code verwendet werden.
Apple bestätigte in einer knappen Mitteilung, dass ihm ein Bericht vorliegt, dass dieses Problem möglicherweise ausgenutzt wurde, gab jedoch keine weiteren Einzelheiten zu Art der Angriffe oder den Angreifern bekannt, die die Schwachstelle ausnutzen.
Die Updates sind für folgende Geräte und Betriebssysteme verfügbar:
-iOS 17.3 und iPadOS 17.3 – iPhone XS und neuer, iPad Pro 12.9-Zoll 2. Generation und neuer, iPad Pro 10.5-Zoll, iPad Pro 11-Zoll 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 6. Generation und neuer und iPad mini 5. Generation und neuer
-iOS 16.7.5 und iPadOS 16.7.5 – iPhone 8, iPhone 8 Plus, iPhone X, iPad 5. Generation, iPad Pro 9.7-Zoll und iPad Pro 12.9-Zoll 1. Generation
-macOS Sonoma 14.3 – Macs mit macOS Sonoma
-macOS Ventura 13.6.4 – Macs mit macOS Ventura
-macOS Monterey 12.7.3 – Macs mit macOS Monterey
-tvOS 17.3 – Apple TV HD und Apple TV 4K (alle Modelle)
-Safari 17.3 – Macs mit macOS Monterey und macOS Ventura
Dies ist die erste aktiv ausgenutzte Zero-Day-Schwachstelle, die Apple in diesem Jahr gepatcht hat. Im letzten Jahr hatte der iPhone-Hersteller 20 Zero-Days behoben, die bei realen Angriffen eingesetzt wurden.
Zusätzlich wurden auch Korrekturen für CVE-2023-42916 und CVE-2023-42917 auf ältere Geräte zurückportiert. Diese Patches wurden im Dezember 2023 veröffentlicht.
Die Offenlegung erfolgt auch nach einem Bericht, dass chinesische Behörden bekannt gegeben haben, dass sie zuvor bekannte Schwachstellen in Apples AirDrop-Funktion genutzt haben, um Strafverfolgungsbehörden bei der Identifizierung von Absendern unangemessener Inhalte zu helfen, indem sie eine Technik auf Basis von Regenbogentabellen verwendet haben.
