Apple hat am Donnerstagabend nochmals Updates für seine aktuellen Betriebssysteme nachgeschoben. Enthalten sind Fixes für einen aktiven Exploit.
Schnell aktualisieren: Seit Donnerstagabend stehen iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 und watchOS 9.6.2 zum Download bereit. Alle vier Updates für iPhone, iPad, Mac und Apple Watch enthalten nur eine schlichte Angabe im Beipackzettel: "Dieses Update bietet wichtige Sicherheitskorrekturen und wird für alle Benutzer empfohlen."
Vorsicht: Zero-Click-Angriff
Was damit konkret gemeint ist, findet man auf Apples offizieller Supportseite zum Thema Sicherheitsupdates: Dort werden insgesamt zwei Fehler aufgeführt, für die es laut Apple bereits Exploits in freier Wildbahn gibt: "Apple ist ein Bericht bekannt, wonach dieses Problem aktiv ausgenutzt worden sein könnte."
Laut der Forschungsorganisation Citizen Lab an der University of Toronto, die bekannt dafür ist, digitale Spionageangriffe auf Aktivisten, Journalisten oder Politiker aufzudecken, werden die Lücken vom umstrittenen Sicherheitsunternehmen NSO Group eingesetzt, das von Apple bereits verklagt worden war. Von den Forschern wird die Exploit-Kette als "BLASTPASS" bezeichnet. Sie soll ohne Interaktion eines Benutzers zu einer Infektion geführt haben – als sogenannter Zero-Click-Angriff. Welche Opfer bislang angegriffen wurden, hat Citizen Lab noch nicht mitgeteilt.
Mindestens zwei ausgenutzte Lücken
Die Attacke erfolgte laut der Sicherheitsforscher über PassKit-Anhänge mit bösartigen Bildern, die von einem iMessage-Konto des Angreifers an das Opfer gesendet wurden. Weitere technische Details sollen nachgereicht werden. Besonders anfällig sind laut Apple iOS 16.6 und iPadOS 16.6 sowie vermutlich auch frühere Versionen. Hier gibt es Lücken in der Bildverarbeitungsroutine ImageIO (CVE-2023-41064), die über ein manipuliertes Bild zur Ausführung unerwünschten Codes gebracht werden kann (Apple macht keine Angaben, mit welchen Rechten dies erfolgt).
Weiterhin ist die Wallet-App für die Verwaltung von Kreditkarten und Verkehrstickets betroffen (CVE-2023-41061), der man einen manipulierten Anhang unterjubeln konnte. Auch dies führt zur Ausführung beliebigen Codes. Behoben wurden beide Fehler durch verbesserte Speicherbehandlung (ImageIO) beziehungsweise "eine verbesserte Logik" (Wallet).
Mac und Apple Watch
Der Fehler in ImageIO steckt auch in macOS, Version 13.5.2 behebt ihn. Der Wallet-Bug fehlt hier allerdings. In watchOS 9.6.2 wurde wiederum nur das Wallet-Problem behoben, hier scheint es via ImageIO keine Angriffsmöglichkeit zu geben.
Interessanterweise handelt es sich bei den Updates nicht um die neuen "schnellen Sicherheitsmaßnahmen" von Apple in Form der sogenannten Rapid Security Response (RSR). Stattdessen werden alle vier Aktualisierungen regulär über die Softwareaktualisierung verteilt und benötigen vollständige Neustarts.
Quelle; heise
Schnell aktualisieren: Seit Donnerstagabend stehen iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 und watchOS 9.6.2 zum Download bereit. Alle vier Updates für iPhone, iPad, Mac und Apple Watch enthalten nur eine schlichte Angabe im Beipackzettel: "Dieses Update bietet wichtige Sicherheitskorrekturen und wird für alle Benutzer empfohlen."
Vorsicht: Zero-Click-Angriff
Was damit konkret gemeint ist, findet man auf Apples offizieller Supportseite zum Thema Sicherheitsupdates: Dort werden insgesamt zwei Fehler aufgeführt, für die es laut Apple bereits Exploits in freier Wildbahn gibt: "Apple ist ein Bericht bekannt, wonach dieses Problem aktiv ausgenutzt worden sein könnte."
Laut der Forschungsorganisation Citizen Lab an der University of Toronto, die bekannt dafür ist, digitale Spionageangriffe auf Aktivisten, Journalisten oder Politiker aufzudecken, werden die Lücken vom umstrittenen Sicherheitsunternehmen NSO Group eingesetzt, das von Apple bereits verklagt worden war. Von den Forschern wird die Exploit-Kette als "BLASTPASS" bezeichnet. Sie soll ohne Interaktion eines Benutzers zu einer Infektion geführt haben – als sogenannter Zero-Click-Angriff. Welche Opfer bislang angegriffen wurden, hat Citizen Lab noch nicht mitgeteilt.
Mindestens zwei ausgenutzte Lücken
Die Attacke erfolgte laut der Sicherheitsforscher über PassKit-Anhänge mit bösartigen Bildern, die von einem iMessage-Konto des Angreifers an das Opfer gesendet wurden. Weitere technische Details sollen nachgereicht werden. Besonders anfällig sind laut Apple iOS 16.6 und iPadOS 16.6 sowie vermutlich auch frühere Versionen. Hier gibt es Lücken in der Bildverarbeitungsroutine ImageIO (CVE-2023-41064), die über ein manipuliertes Bild zur Ausführung unerwünschten Codes gebracht werden kann (Apple macht keine Angaben, mit welchen Rechten dies erfolgt).
Weiterhin ist die Wallet-App für die Verwaltung von Kreditkarten und Verkehrstickets betroffen (CVE-2023-41061), der man einen manipulierten Anhang unterjubeln konnte. Auch dies führt zur Ausführung beliebigen Codes. Behoben wurden beide Fehler durch verbesserte Speicherbehandlung (ImageIO) beziehungsweise "eine verbesserte Logik" (Wallet).
Mac und Apple Watch
Der Fehler in ImageIO steckt auch in macOS, Version 13.5.2 behebt ihn. Der Wallet-Bug fehlt hier allerdings. In watchOS 9.6.2 wurde wiederum nur das Wallet-Problem behoben, hier scheint es via ImageIO keine Angriffsmöglichkeit zu geben.
Interessanterweise handelt es sich bei den Updates nicht um die neuen "schnellen Sicherheitsmaßnahmen" von Apple in Form der sogenannten Rapid Security Response (RSR). Stattdessen werden alle vier Aktualisierungen regulär über die Softwareaktualisierung verteilt und benötigen vollständige Neustarts.
Quelle; heise
