Mit der Veröffentlichung von iOS 16.3.1 letzte Woche hat Apple mehrere Sicherheitslücken für iPhone- und iPad-Nutzer geschlossen. Obwohl das Unternehmen diese Patches bereits detailliert auf seiner Website beschrieben hat, hat Apple nun seine Sicherheitsseite aktualisiert und gibt bekannt, dass mit den neuesten iOS-Updates noch weitere Sicherheitslücken geschlossen wurden.
Wie Aaron auf Twitter schreibt, hat Apple eine neue CVE (Common Vulnerabilities and Exposures) für iOS 16.3.1 und drei neue CVEs für das im Januar veröffentlichte iOS 16.3 hinzugefügt. Die neue Schwachstelle, die von Apple identifiziert und mit iOS 16.3.1 behoben wurde, steht im Zusammenhang mit einem „böswillig erstellten Zertifikat“, das zu einem Denial-of-Service (DoS)-Angriff führen kann, bei dem der Angreifer das Gerät oder das Netzwerk mit Datenverkehr überflutet, um einen Absturz auszulösen. Laut Apple wurde das DoS-Problem durch eine „verbesserte Eingabevalidierung“ behoben.
iOS 16.3.1: Das Update wird dringend empfohlen
Interessanterweise wurde die Webseite mit den Sicherheitsinhalten von iOS 16.3 auch mit drei neuen Schwachstellen aktualisiert, die mit dem Update behoben wurden. Eine der Schwachstellen, die im Crash Reporter des Systems gefunden wurde, könnte es einem Angreifer ermöglichen, beliebige Dateien als Root zu lesen. Zwei weitere Schwachstellen im Zusammenhang mit der Foundation könnten es einem Angreifer ermöglichen, beliebigen Code auf dem iPhone oder iPad mit höheren Rechten auszuführen und so die Sandbox der App zu umgehen.
- Betroffen: iPhone 8 und neuer, iPad Pro (alle Modelle), iPad Air 3. Generation und neuer, iPad 5. Generation und neuer und iPad mini 5.
- Auswirkungen: Eine App kann möglicherweise beliebigen Code außerhalb ihrer Sandbox oder mit bestimmten erweiterten Rechten ausführen.
- Beschreibung: Das Problem wurde durch eine verbesserte Speicherverwaltung behoben.
- CVE-2023-23530: Austin Emmitt, leitender Sicherheitsforscher bei Trellix ARC
Unklar ist, warum Apple die Schließung dieser Schwachstellen bisher nicht gemeldet hat. Es lohnt sich aber daran zu denken, dass diese Schwachstellen alle mit iOS 16.3.1 behoben wurden, das jetzt für alle Nutzer verfügbar ist. Mit macOS 13.2.1 und iOS 16.3.1 hat Apple auch eine Sicherheitslücke im Zusammenhang mit WebKit (der Webbrowser-Engine von Safari) geschlossen, die „aktiv ausgenutzt“ wurde. (Photo by Mehaniq / Bigstockphoto)
