[English]Apple hat zum 21. September 2023 Updates auf iOS 17.0.1, iPadOS 17.0.1, watchOS 10.0.1 sowie macOS veröffentlicht. Es handelt sich um außerplanmäßig Sicherheitsupdates, die bereits kurz nach Veröffentlichung von iOS/iPadOS 17 und watchOS 10 fällig wurden und drei gravierende 0-day-Schwachstellen schließen sollen.
Anzeige
Die Schwachstellen
Gemäß diesem Sicherheitshinweis (abrufbar über diese Seite) von Apple wurden drei Sicherheitslücken im Kernel, im Webkit und in Sicherheitsfunktionen (Zertifikatsvalidierung) gefunden und geschlossen. Die Kollegen von Bleeping Computer haben einen Artikel mit einer Übersicht der betroffenen Produkte veröffentlicht. Hier eine Übersicht um die Schwachstellen und betroffenen Apple-Betriebssysteme:
- CVE-2023-41992: Ein lokaler Angreifer kann unter Umständen seine Rechte erweitern. Apple ist ein Bericht bekannt, wonach dieses Problem für iOS-Versionen vor iOS 16.7 aktiv ausgenutzt werden kann. Die Schwachstelle ist in folgenden Betriebssystemen geschlossen: iOS 16.7 und iPadOS 16.7, OS 17.0.1 und iPadOS 17.0.1, watchOS 9.6.3, macOS Ventura 13.6, macOS Monterey 12.7, watchOS 10.0.1
- CVE-2023-41991: In iOS 16.7 und iPadOS 16.7, OS 17.0.1 und iPadOS 17.0.1, watchOS 9.6.3, macOS Ventura 13.6, watchOS 10.0.1 wurde ein Problem bei der Zertifikatsvalidierung behoben. Eine bösartige App könnte die Signaturprüfung umgehen. Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv für iOS-Versionen vor iOS 16.7 ausgenutzt werden kann.
- CVE-2023-41993: In iOS 16.7 und iPadOS 16.7, iOS 17.0.1 und iPadOS 17.0.1, Safari 16.6.1 wurde ein Prüfproblem im WebKit behoben. Die Verarbeitung von Webinhalten kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv gegen iOS-Versionen vor iOS 16.7 ausgenutzt werden kann.
Diese Apple Seite listet die Geräte-Modelle auf, für die die jeweiligen Betriebssystem-Notfallupdates bereitgestellt werden. Dort erfährt man auch, dass iOS 17.0.2 bereits für das iPhone 15 freigegeben wurde – es gibt aber noch keine Details. Weiterhin haben auch diverse macOS-Versionen Notfall-Updates erhalten, um die obigen Schwachstellen zu beseitigen.
Anzeige
ArsTechnica hat da gerade einen Artikel über diese kürzlich von CitizenLab u.A. gefundenen 0-Days gebracht, und wie Apple, Google & Co. damit umgehen – da stellen sich mir die Haare auf..
Unsereins dürfte viel zu patchen haben in der nächsten Zeit, und hoffen das der Pfeil vorbeifliegt..
https://arstechnica.com/security/2023/09/incomplete-disclosures-by-apple-and-google-create-huge-blindspot-for-0-day-hunters/
Heftig. Kurz gesagt – es gibt keine sicher Software (inkl. OS) mehr. Das ist ja nur ein "kleiner" Teil. Jeden Tag etwas Neues.
Es gab noch nie sichere Software (inkl. OS und vor allem inkl. umfangreicher Blackbox Firmware in diversen Bauteilen, UEFI, eigenes OS innerhalb der CPU, Baseband in allen Adten von Netzwerkanbindungen usw).
Gab es jemals „sichere" Software?
Beim neuen iPhone 15 soll man lt. einem Bericht von Macworld
Quelle : https://www.macworld.com/article/2079782/stuck-on-launch-dayapple-logo-discoloration.html
das Update auf 17.0.2 zuerst einspielen, bevor man das alte iPhone auf das neue überträgt.
Wenn es hängen bleibt beim Übertragen gibt es eine "Reset Anleitung": https://support.apple.com/de-de/HT213933