Apple hat eine kritische Sicherheitslücke in WebKit geschlossen, die in einem gezielten Angriff auf bestimmte Personen ausgenutzt wurde. WebKit ist die Browser-Engine hinter Safari und anderen Anwendungen. Die Schwachstelle ermöglichte es Angreifern, aus der geschützten Sandbox von WebKit auszubrechen und auf andere Teile des Systems zuzugreifen. Eine Sandbox ist ein Sicherheitsmechanismus, der den Zugriff auf sensible Daten verhindern soll. Der Patch wurde veröffentlicht und betrifft Macs, iPhones, iPads, Safari und das Vision Pro Headset. Betroffene Geräte nutzten Softwareversionen vor iOS 17.2. Weder die Identität der Hacker noch die der betroffenen Personen wurde bekannt gegeben. Apple hat auf Anfragen zu weiteren Kommentaren nicht reagiert.
Wichtige Sicherheitsupdates und wiederholte Angriffe
Im Februar hatte Apple eine ähnliche Sicherheitslücke beschrieben, die ebenfalls in einem gezielten Angriff ausgenutzt wurde. Es gibt keine Hinweise darauf, dass die beiden Vorfälle miteinander in Verbindung stehen. Die wiederholten Angriffe betonen die Notwendigkeit, Sicherheitsmaßnahmen kontinuierlich zu aktualisieren. Die Entdeckung und Behebung von Schwachstellen ist entscheidend für das Vertrauen der Nutzer in die Sicherheit ihrer Geräte. Apple betont, dass der Schutz der Privatsphäre und Sicherheit der Nutzer oberste Priorität hat. Experten warnen vor der zunehmenden Komplexität von Cyberangriffen, die Unternehmen zur ständigen Überprüfung ihrer Sicherheitsprotokolle zwingt. Die Nutzung von Zero-Day-Exploits zeigt, dass Hacker gezielt Schwachstellen ausnutzen, bevor sie öffentlich bekannt werden. Es wird erwartet, dass Apple weiterhin in die Verbesserung seiner Sicherheitsinfrastruktur investiert.
Darüber hinaus wurden am 19. Mai 2023 Sicherheitsupdates für iOS, iPadOS, macOS, tvOS, watchOS und den Safari-Webbrowser veröffentlicht, die Dutzende von Sicherheitsanfälligkeiten adressieren, darunter drei neue Zero-Day-Schwachstellen, die aktiv ausgenutzt werden. Diese Schwachstellen sind:
- CVE-2023-32409: WebKit-Fehler, der von Angreifern ausgenutzt werden kann, um aus dem Web Content-Sandbox auszubrechen. Behebung durch verbesserte Grenzprüfungen.
- CVE-2023-28204: Out-of-Bounds-Leseproblem in WebKit, das zur Offenlegung sensibler Informationen führen kann. Behebung durch verbesserte Eingangsvalidierung.
- CVE-2023-32373: Use-After-Free-Fehler in WebKit, der zur Ausführung beliebigen Codes führen kann. Behebung durch verbessertes Speichermanagement.
Clément Lecigne von Googles Threat Analysis Group und Donncha Ó Cearbhaill von Amnesty International haben CVE-2023-32409 gemeldet. Ein anonymer Forscher wurde für die anderen beiden Schwachstellen anerkannt. Im Rahmen von Rapid Security Response-Updates wurden CVE-2023-28204 und CVE-2023-32373 zu Beginn des Monats gepatcht. Es gibt derzeit keine weiteren technischen Details zu den Schwachstellen oder den Angreifern, die sie möglicherweise ausnutzen. Historisch wurden solche Schwächen häufig für gezielte Angriffe verwendet, um Spionagesoftware auf Geräten von Dissidenten, Journalisten und Menschenrechtsaktivisten zu installieren.
Die neuesten Updates sind verfügbar für:
- iOS 16.5 und iPadOS 16.5: iPhone 8 und später, iPad Pro (alle Modelle), iPad Air 3. Generation und später, iPad 5. Generation und später, iPad mini 5. Generation und später.
- iOS 15.7.6 und iPadOS 15.7.6: iPhone 6s (alle Modelle), iPhone 7 (alle Modelle), iPhone SE (1. Generation), iPad Air 2, iPad mini (4. Generation), iPod touch (7. Generation).
- macOS Ventura 13.4: macOS Ventura.
- tvOS 16.5: Apple TV 4K (alle Modelle) und Apple TV HD.
- watchOS 9.5: Apple Watch Series 4 und später.
- Safari 16.5: macOS Big Sur und macOS Monterey.
Seit Beginn des Jahres 2023 hat Apple insgesamt sechs aktiv ausgenutzte Zero-Days behoben, wie The Hacker News berichtete. Diese Vorfälle verdeutlichen die anhaltende Bedrohung von Cyberangriffen und die Wichtigkeit für Unternehmen, ihre Sicherheitsmaßnahmen ständig zu überprüfen und anzupassen.
Zu den gesichteten Vorfällen und der Schließung dieser kritischen Lücken berichtete auch IT-Boltwise, was die Notwendigkeit unterstreicht, den Schutz der Privatsphäre und Sicherheit der Nutzer in den Mittelpunkt der Unternehmensstrategien zu stellen.
