Apple hat Sicherheitsverbesserungen eingeführt, um Zero-Day-Schwachstellen zu neutralisieren, die bei Cyberangriffen auf iPhones, Macs und iPads ausgenutzt wurden.

Als Reaktion auf die Entdeckung einer WebKit-Schwachstelle, die als CVE-2023-37450 identifiziert wurde, hat das Unternehmen diesen Monat eine Reihe von Rapid Security Response (RSR)-Updates eingeleitet. „Apple hat Berichte erhalten, die darauf hindeuten, dass dieses Problem möglicherweise aktiv ausgenutzt wird“, so das Unternehmen in einer öffentlichen Mitteilung.

Heute hat Apple einen weiteren Zero-Day behoben, eine neue Kernel-Schwachstelle mit der Bezeichnung CVE-2023-38606, die für Geräte mit älteren iOS-Versionen ausgenutzt wurde. „Wir haben Berichte erhalten, die darauf hindeuten, dass iOS-Versionen, die vor iOS 15.7.1 veröffentlicht wurden, aufgrund dieses Problems aktiv ausgenutzt werden können“, teilte das Unternehmen mit.

Die Ausnutzung auf ungepatchten Geräten würde es Angreifern ermöglichen, sensible Kernel-Zustände zu verändern. Um diese beiden Schwachstellen zu beheben, hat Apple die Zustandsverwaltung und die Kontrollen verbessert.

Der leitende Sicherheitsforscher von Kaspersky GReAT, Boris Larin, berichtete, dass CVE-2023-38606 Teil einer Zero-Click-Exploit-Kette war, um über iMessage-Exploits Triangulation-Spyware auf iPhones zu implantieren.

Lesen Sie auch: „Unsichtbare Risiken: Wie der gestohlene Microsoft-Schlüssel mehr als erwartet freischalten könnte“

Darüber hinaus hat das Unternehmen rückwirkende Sicherheitspatches für einen Zero-Day (CVE-2023-32409), der im Mai behandelt wurde, auf Geräte mit tvOS 16.6 und watchOS 9.6 angewendet.

Apple hat die drei Sicherheitslücken in macOS Ventura 13.4, iOS und iPadOS 16.5, tvOS 16.5, watchOS 9.5 und Safari 16.5 durch Verbesserung der Speicherverwaltung, Eingabevalidierung und Bound Checks geschlossen.

Eine umfangreiche Liste von Geräten war von den beiden heute behobenen Zero-Days betroffen, darunter verschiedene iPhone- und iPad-Modelle sowie Macs, die mit macOS Big Sur, Monterey und Ventura arbeiten.

In diesem Jahr hat Apple bisher 11 Zero-Day-Schwachstellen behoben, die Angreifer ausgenutzt haben, um iOS-, macOS- und iPadOS-Geräte anzugreifen.

Anfang des Monats veröffentlichte Apple außerplanmäßige Rapid Security Response (RSR)-Updates, um einen Fehler (CVE-2023-37450) zu neutralisieren, der sich auf vollständig gepatchte iPhones, Macs und iPads auswirkt. Später räumte das Unternehmen ein, dass die RSR-Updates das Surfen auf bestimmten Websites unterbrachen, und veröffentlichte zwei Tage später korrigierte Versionen der fehlerhaften Patches.

Zuvor hatte Apple mehrere andere Sicherheitslücken behoben, darunter die folgenden:

• Drei im Juni (CVE-2023-32434, CVE-2023-32435 und CVE-2023-32439)
• Drei weitere im Mai (CVE-2023-32409, CVE-2023-28204 und CVE-2023-32373)
• Zwei weitere im April (CVE-2023-28206 und CVE-2023-28205)
• Und ein WebKit-Zero-Day (CVE-2023-23529) im Februar