Apple hat Korrekturen für eine kürzlich bekannt gewordene kritische Sicherheitslücke, die ältere Geräte betrifft, zurückportiert und weist darauf hin, dass sie aktiv ausgenutzt wird.
Bei dem als CVE-2022-42856 bezeichneten Problem handelt es sich um eine Verwirrungsschwachstelle in der WebKit-Browser-Engine, die bei der Verarbeitung böswillig gestalteter Webinhalte zur Ausführung von beliebigem Code führen kann.
Ursprünglich wurde die Schwachstelle vom Unternehmen am 30. November 2022 im Rahmen des iOS 16.1.2-Updates behoben. Der Patch wurde jedoch auf eine breitere Palette von Apple-Geräten mit iOS 15.7.2, iPadOS 15.7.2, macOS Ventura 13.1, tvOS 16.2 und Safari 16.2 ausgeweitet.
„Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv für iOS-Versionen vor iOS 15.1 ausgenutzt werden kann“, so der iPhone-Hersteller in einem am Montag veröffentlichten Advisory.
Daher ist das neueste Update, iOS 12.5.7, für iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 und iPod touch (6. Generation) verfügbar.
Clément Lecigne von der Threat Analysis Group (TAG) von Google wird die Entdeckung der Sicherheitslücke zugeschrieben, obwohl die genauen Umstände der Ausnutzungsversuche in freier Wildbahn derzeit nicht bekannt sind.
Das Update kommt zu einem Zeitpunkt, an dem Apple iOS 16.3, iPadOS 16.3, macOS Ventura 13.2, watchOS 9.3 und Safari 16.3 veröffentlicht hat, um eine lange Liste von Sicherheitslücken zu beheben, darunter zwei Fehler in WebKit, die zur Codeausführung führen können.
macOS Ventura 13.2 schließt außerdem zwei Denial-of-Service-Schwachstellen in ImageIO und Safari sowie drei Schwachstellen im Kernel, die dazu missbraucht werden können, vertrauliche Informationen auszuspähen, die Speicheranordnung zu bestimmen und bösartigen Code mit erhöhten Rechten auszuführen.
Es geht aber nicht nur um Fehlerbehebungen. Die Updates ermöglichen auch die Verwendung von Hardware-Sicherheitsschlüsseln zum Sperren von Apple IDs für eine Phishing-resistente Zwei-Faktor-Authentifizierung. Sie erweitern auch die Verfügbarkeit von Advanced Data Protection außerhalb der USA.