Apple hat diese Woche dringende Sicherheitsupdates veröffentlicht, um Zero-Day-Schwachstellen in älteren iPhone-, iPad- und iPod-Modellen zu beheben.
Die am Mittwoch veröffentlichten Patches beheben ein Problem beim Schreiben außerhalb der Grenzen, das von einem Angreifer ausgenutzt werden könnte, um die Kontrolle über das betroffene Gerät zu übernehmen. Die US Cyber Security and Infrastructure Agency (CISA) hat heute Benutzer und IT-Administratoren ermutigt, den Apple Advisory HT213428 zu lesen und alle erforderlichen Updates anzuwenden.
Apple reagierte nicht sofort auf eine Anfrage nach einem Kommentar dazu, ob die Sicherheitslücken durch aktive Exploits auf das Unternehmen aufmerksam gemacht wurden, aber in seinem Sicherheitsupdate hieß es: „Apple ist sich eines Berichts bewusst, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.“
Softwareschwachstellen sind in der Common Vulnerabilities and Exposures (CVE)-Datenbank aufgeführt, einem System, das von einer Abteilung des US-Heimatschutzministeriums (DHS) finanziert wird, um die öffentliche Offenlegung von Sicherheitsschwachstellen und -risiken sicherzustellen .
„Das Problem ist, dass, wenn eine Webseite auf eine bestimmte Weise aufgebaut ist, Code auf dem Gerät außerhalb der normalen Eindämmung ausgeführt und effektiv eine Malware-Situation auf dem Gerät geschaffen werden kann, die Daten, Kontakte, Standort gefährden und böswillige einfügen könnte Software. Artikel usw sagte Jack Gold, Hauptanalyst bei J. Gold Associates, LLC.
„Das ist also ein großes Problem“, fügte er hinzu.
Die Schwachstellen betreffen iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 und iPod touch (6. Generation) sowie Computer mit früheren Versionen von macOS.
Die Tatsache, dass das Problem diese Gruppe älterer Geräte betrifft, nicht neuere Modelle, bedeutet, dass relativ wenige Geräte gefährdet sind, sagte Gold. Dennoch, sagte er, sollte jeder mit einem der älteren Geräte so schnell wie möglich aufrüsten.
Während ein vorgeschlagener Patch für ältere Geräte belanglos erscheinen mag, sind Cyberkriminelle besonders an älteren, nicht gepatchten Technologien interessiert, insbesondere wenn die Schwachstelle ihnen die volle Kontrolle und die Möglichkeit gibt, auf andere Systeme und Dienste zuzugreifen.
„Ein Angreifer könnte ein potenzielles Opfer auf eine speziell gestaltete Website locken oder Malvertising nutzen, um ein anfälliges System zu gefährden, indem er diese Schwachstelle ausnutzt“, sagte Malwarebytes heute in einem Blogbeitrag. „Da die Schwachstelle in Apples HTML-Rendering-Software (WebKit) besteht. WebKit funktioniert mit allen iOS- und Safari-Webbrowsern. Mögliche Ziele sind daher iPhones, iPads und Macs, die dazu verleitet werden könnten, nicht autorisierten Code auszuführen.
Das Problem wurde in iOS 15.6.1, iPadOS 15.6.1 und macOS Monterey 12.5.1 behoben. Apple ermutigt Benutzer, auf die neuesten Versionen seiner Software zu aktualisieren.
Copyright © 2022 IDG Communications, Inc.