iOS 15.3 & iPadOS 15.3 beheben den Safari-Browser-Fehler, der die Browserdaten der Nutzer ausspähen konnte, sowie einen Zero-Day-Fehler in IOMobileFrameBuffer, der in freier Wildbahn ausgenutzt wurde.
Apple hat am Mittwoch 13 Patches für schwerwiegende Sicherheitslücken in macOS und 10 für Schwachstellen in iOS/iPadOS veröffentlicht. Darunter sind auch Korrekturen für zwei Zero-Day-Fehler, von denen einer möglicherweise von Angreifern in freier Wildbahn ausgenutzt wurde.
Der erste Zero-Day-Fehler (CVE-2022-22587) ist ein Problem der Speicherkorruption, das von einer bösartigen Anwendung ausgenutzt werden könnte, um beliebigen Code mit Kernel-Rechten auszuführen. Der Fehler existiert speziell im IOMobileFrameBuffer – einer Kernel-Erweiterung, die es Entwicklern erlaubt, zu kontrollieren, wie der Speicher eines Geräts die Bildschirmanzeige, auch Framebuffer genannt, handhabt. Er betrifft iOS, iPadOS und macOS Monterey, und Apple hat ihn mit einer verbesserten Eingabevalidierung behoben.
Apple sagte auch, dass es sich eines Berichts bewusst ist, der darauf hindeutet, dass die Schwachstelle in freier Wildbahn aktiv ausgenutzt worden sein könnte.
Das Update ist verfügbar für iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation).
Datenexponierender Apple Safari-Bug beseitigt
Außerdem wurde ein zweiter Zero-Day-Fehler behoben: ein weithin veröffentlichter WebKit-Fehler im weit verbreiteten Safari-Browser, der unter der Bezeichnung CVE-2022-22594 geführt wird. Das Problem mit der Offenlegung von Informationen betrifft Browser für macOS, iOS und iPadOS. Sie wurde letzte Woche von FingerprintJS-Forschern aufgedeckt und ermöglicht es einer schnüffelnden Website, Informationen über andere Tabs herauszufinden, die ein Benutzer geöffnet hat.
Dieser Fehler ist eine ursprungsübergreifende Richtlinienverletzung in der IndexDB-API – einer JavaScript-API, die von Webbrowsern zur Verwaltung einer NoSQL-Datenbank mit JSON-Objekten bereitgestellt wird -, die Apple ebenfalls mit einer verbesserten Eingabevalidierung behoben hat.
Normalerweise erlaubt ein Webbrowser Skripten auf einer Webseite nur dann den Zugriff auf Daten auf einer zweiten Webseite, wenn beide Seiten denselben Ursprungs-Backend-Server haben. Ohne diese Sicherheitsrichtlinie hätte ein Schnüffler, dem es gelingt, ein bösartiges Skript in eine Website einzuschleusen, freien Zugang zu allen Daten, die in anderen Registerkarten enthalten sind, die das Opfer im Browser geöffnet hat, einschließlich des Zugriffs auf Online-Banking-Sitzungen, E-Mails, Gesundheitsportal-Daten und andere sensible Informationen.
John Bambenek, Principal Threat Hunter bei Netenrich, erklärte am Mittwoch gegenüber Threatpost, dass Zero-Days wie diese beiden, die die Ausführung von Remote-Code (RCE) auf mobilen Geräten ermöglichen, zu den gefährlichsten gehören, die es gibt.
Denken Sie an mobile Spyware, denken Sie an Pegasus, denken Sie an Spionage durch einen Staat.
„Oft werden diese Arten von Wanzen … in böser Absicht oder von Regierungen eingesetzt, die Menschenrechtsverletzungen begehen“, so Bambenek per E-Mail. „Leider werden wir im Laufe des Jahres wahrscheinlich noch mehr dieser Wanzen sehen.“
Die Patches sind in den Updates für macOS Monterey 12.2 und iOS/iPadOS 15.3 enthalten. iOS 15.3 behebt außerdem Sicherheitsprobleme, die dazu führen können, dass Apps Root-Rechte erlangen, beliebigen Code mit Kernel-Rechten ausführen können und dass Apps über iCloud auf Benutzerdateien zugreifen können.
Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Online-Townhalls – einzigartige, dynamische Diskussionen mit Cybersicherheitsexperten und der Threatpost-Community.
Einige Teile dieses Artikels stammen aus:
threatpost.com
Neues Jahr, neue Bedrohungen: 4 Tipps zur Aktivierung Ihrer besten Cyber-Verteidigung