Apple hat Updates veröffentlicht, um zwei Schwachstellen in seinen Betriebssystemen zu schließen. Das Unternehmen kenne Berichte, dass die Lücken aktiv ausgenutzt werden, hieß es schon in der Nacht auf Donnerstag. Seitdem steht auch eine neue, abgesicherte Version von iOS 15, iPadOS 15 sowie macOS 12 Monterey zum Download bereit. Inzwischen schob Apple außerdem einen Safari-Patch für die älteren macOS-Versionen 11 Big Sur und 10.15 Catalina nach.
Schwachstellen in WebKit und Kernel
Nach Angabe des Herstellers gibt es eine Schwachstelle in der Browser-Engine WebKit, die das Einschleusen und Ausführen von Schadcode ermöglicht – allein durch Aufruf einer manipulierten Webseite. WebKit steckt nicht nur im Browser Safari, sondern kommt an vielen Stellen des Betriebssystems zum Einsatz, um Web-Inhalte anzuzeigen.
Zudem besteht eine Lücke im Kernel der Betriebssysteme, die es Apps ermöglicht, beliebigen Code mit Kernel-Rechten auszuführen. Es ist zu vermuten, dass die Schwachstellen als Kombination zum Einsatz kommen: So könnte der Code über die WebKit-Lücke eingeschleust und dann mit Kernel-Rechten ausgeführt werden, um so die Kontrolle über iPhone, iPad oder Mac aus der Ferne zu übernehmen.
Laut Apple fußen die beiden als CVE-2022-32893 und CVE-2022-32894 geführten Bugs auf einem „Out-of-bounds write“-Problem. Software ist also in der Lage, außerhalb des zugewiesenen Speichers zu schreiben. Das sei mit den Updates durch besseres Bound-Checking behoben worden, erläutert der Hersteller. Die Fehler haben angeblich anonyme Sicherheitsforscher an das Unternehmen gemeldet. Weitere Details wurden nicht genannt.
iOS 15.6.1 und macOS 12.5.1 selbst einspielen
Falls nicht schon geschehen, sollten iPhone-, iPad- und Mac-Nutzer die Updates über die integrierte Software-Aktualisierung sofort herunterladen und manuell einspielen. In den iOS- und iPadOS-Einstellungen ist die Funktion unter „Allgemein“ im Bereich „Softwareupdate“ zu finden, dort stehen iOS 15.6.1 und iPadOS 15.6.1 zum Download bereit. Mac-Nutzer erhalten das Update auf macOS 12.5.1 in den Systemeinstellungen unter „Softwareupdate“. In macOS 11 und macOS 10.15 erscheint dort Safari 15.6.1.
Auch wer die automatischen Updates aktiviert hat, sollte die neuen Versionen lieber manuell laden. Apples Update-Automatik lässt sich gewöhnlich Zeit, die Patches erfolgen dann erst nach mehreren Tagen bis Wochen.
...
Quelle: heise.de