Apple hat am Montag Sicherheitspatches für iOS, iPadOS, macOS, tvOS, watchOS und den Safari-Webbrowser veröffentlicht, um mehrere Sicherheitslücken zu schließen und ältere Geräte mit Korrekturen für zwei kürzlich bekannt gewordene Zero-Day-Schwachstellen auszustatten.
Dazu gehören Updates für 12 Sicherheitslücken in iOS und iPadOS im Zusammenhang mit AVEVideoEncoder, ExtensionKit, Find My, ImageIO, Kernel, Safari Private Browsing und WebKit. macOS Sonoma Version 14.2 behebt 39 Schwachstellen. Dazu gehören sechs Sicherheitslücken, die die ncurses-Bibliothek betreffen.
Eine bemerkenswerte Schwachstelle ist CVE-2023-45866, eine kritische Sicherheitslücke in Bluetooth, die es einem Angreifer, der sich an einem privilegierten Netzwerkstandort befindet, ermöglichen könnte, Tastatureingaben über eine getarnte Tastatur zu tätigen.
Die Schwachstelle wurde letzte Woche von dem SkySafe-Sicherheitsforscher Marc Newlin aufgedeckt. Laut Apple wurde das Problem in iOS 17.2, iPadOS 17.2 und macOS Sonoma 14.2 durch verbesserte Prüfungen behoben.
Neben der Behebung einer Siri-Schwachstelle, die einem Angreifer mit physischem Zugang zu sensiblen Daten Zugang verschaffen könnte, enthalten iOS 17.2 und iPadOS 17.2 ein Sicherheits-Upgrade für die Kontaktschlüssel-Authentifizierungsfunktion, die die Vertraulichkeit von iMessage-Konversationen sicherstellt, indem sie es Nutzern ermöglicht, die Kontakte zu authentifizieren, mit denen sie kommunizieren.
In der technischen Notiz von Apple vom Oktober 2023 heißt es: "Die iMessage-Kontaktschlüsselvalidierung bringt den Stand der Technik bei der Bereitstellung von Schlüsseltransparenz voran, indem sie es den Benutzergeräten ermöglicht, den Konformitätsnachweis selbst zu validieren und sicherzustellen, dass das KT-System auf allen Benutzergeräten für einen Account konsistent ist."
"Diese Verbesserungen schützen sowohl die Schlüsselkataloge als auch den Transparenzdienst selbst vor Schäden und können geteilte Ansichten, die von beiden Diensten präsentiert werden, erkennen."
Das Update fällt mit der Veröffentlichung von iOS 16.7.3 und iPadOS 16.7.3 durch Apple zusammen und behebt bis zu acht Sicherheitslücken, von denen zwei im Zusammenhang mit WebKit stehen (CVE-2023-42916 und CVE-2023-42917) und von denen Redmond Anfang des Monats bekannt gab, dass sie aktiv ausgenutzt werden.
Beide Schwachstellen wurden auch in tvOS 17.2 und watchOS 10.2 behoben. Es gibt keine weiteren Details über die Art und Weise, wie diese Schwachstellen ausgenutzt werden, und über die Bedrohungsakteure, die sie möglicherweise nutzen.
Originalartikel von SnowFlake, bei Vervielfältigung bitte angeben: https://cncso.com/de/apple-system-security-update-fixed-multiple-vulnerabilities.html
