Zahlreiche Fehler auf Apple TV, Uhren, Macs, iPad und iPhone behoben

Zahlreiche Fehler auf Apple TV, Uhren, Macs, iPad und iPhone behoben

Apple behebt Dutzende Schwachstellen auf seinen Geräten

Am 11. Dezember veröffentlichte Apple Patches für Dutzende Schwachstellen, die iPhones, Macs, Apple TVs, Apple Watches und seinen Safari-Browser betreffen. Die lange Liste umfasst 39 Schwachstellen, die für macOS Sonoma Version 14.2 behoben wurden. Darunter ist CVE-2023-42914, ein Kernel-Problem mit dem Potenzial, Anwendungen aus ihrer Sandbox auszubrechen; CVE-2023-42894, ein AppleEvents-Problem, das Apps die Tür öffnet, ohne Autorisierung auf die Kontakte eines Benutzers zuzugreifen; und zwei Safari Webkit-spezifische CVEs – ein Fehler bei der Ausführung willkürlichen Codes, CVE-2023-42890; und ein Denial-of-Service-Bug, CVE-2023-42883. Zu den Updates vom Montag gehörten außerdem ein Dutzend neue Korrekturen in iOS und iPadOS 17.2, von denen acht auch für Version 16.7.3 gelten. Dazu gehört CVE-2023-42922, das es Apps hätte ermöglichen können, sensible Standortinformationen über FindMy zu lesen; CVE-2023-42923, das den nicht authentifizierten Zugriff auf private Browser-Registerkarten ermöglicht; und CVE-2023-42897, entdeckt von einem Studenten der University of Texas, bei dem ein Angreifer mit physischem Zugriff auf ein Gerät Siri hätte verwenden können, um vertrauliche Daten vom Benutzer zu erhalten.

Bemerkenswerte Sicherheitslücken in der Apple Watch und Bluetooth

Zwei Webkit-Schwachstellen, die bereits auf iPhones, iPads und Macbooks behoben wurden, wurden seit dem 11. Dezember auch für Apple Watches behoben. CVE-2023-42916 wurde ein CVSS-Score von 6,5 „Mittel“ zugewiesen, und CVE-2023-42917 – 8,8 „Hoch“ – beide „erlauben Angreifern, über Lesevorgänge außerhalb der Grenzen auf vertrauliche Informationen zuzugreifen und Remote-Codeausführung durchzuführen“ RCE) durch Speicherbeschädigung durch bösartige Webseiten“, sagt Mike Walters, Präsident und Mitbegründer von Action1. Apple stellte fest, dass diese Schwachstellen in iOS-Versionen vor 16.7.1 ausgenutzt worden wären. „Angesichts der bisherigen Arbeit des Forschers“, sagt Walters über den für ihre Entdeckung verantwortlichen Google TAG-Analysten, „legt dies nahe, dass sie mit Spyware oder APT in Zusammenhang stehen.“ Der Verkäufer wird diese Informationen jedoch wie üblich nicht preisgeben.“

Etwas anderes, das in letzter Zeit für Schlagzeilen sorgt, ist CVE-2023-45866, eine Schwachstelle zur Authentifizierungsumgehung, die macOS und iOS sowie Linux und Android betrifft. Dieses CVE wurde den Anbietern Anfang August gemeldet und letzte Woche veröffentlicht. Es betrifft nur Apple-Geräte, wenn Bluetooth aktiviert ist und sie mit einem Magic Keyboard gekoppelt sind. In solchen Fällen kann ein Angreifer jedoch auf einem Linux-Computer mit einem Standard-Bluetooth-Adapter Tastenanschläge in ein Zielgerät einschleusen und so alle Aktionen ausführen, die das Opfer ausführen würde, ohne Authentifizierungsbarrieren.

RedHat hat CVE-2023-45866 einen CVSS-Score von 7,1 zugewiesen und ihn als „Hoch“-Schweregrad bezeichnet. In einer GitHub-ReadME-Datei beklagte der für die Entdeckung verantwortliche Forscher die anhaltenden Sicherheitsprobleme bei Bluetooth-Geräten. „Ich bin mir derzeit wirklich nicht sicher, welche Art von kabelloser Tastatur ich empfehlen soll“, schrieb er. „Wenn Sie dies lesen und eine sichere drahtlose Tastatur erstellen, senden Sie mir bitte eine, damit ich sie für Sie hacken kann.“

Quelle: www.darkreading.com

Avatar-Foto

Sylvain Métral

J'adore les séries télévisées et les films. Fan de séries des années 80 au départ et toujours accroc aux séries modernes, ce site est un rêve devenu réalité pour partager ma passion avec les autres. Je travaille sur ce site pour en faire la meilleure ressource de séries télévisées sur le web. Si vous souhaitez contribuer, veuillez me contacter et nous pourrons discuter de la manière dont vous pouvez aider.