Dringendes Sicherheitsupdate und Bugfixes für iPhone, iPad, Mac und Apple Watch
von Tina Siering
Zwei Schwachstellen werden behoben
Genauer geht Apple auf ihrer Supportseite auf die Sicherheitslücken ein. Dort werden explizit zwei Schwachstellen genannt und kommentiert: "Apple hat Kenntnis von einem Bericht, wonach dieses Problem aktiv ausgenutzt wurde." Den Hinweis bekam der Konzern von der Forschungsorganisation Citizen Lab an der Munk School der University of Toronto. Konkreter geht es bei den beiden Sicherheitslücken um die Bildverarbeitungsroutine ImageIO (CVE-2023-41064), die durch ein manipuliertes Bild zur Ausführung unerwünschter Codes verwendet werden können. Außerdem betroffen ist die Wallet-App, die zur Verwaltung von Kreditkarten und Fahrkarten dient (CVE-2023-41061). Hier konnte ein manipulierter Anhang verwendet werden, um beliebigen Code auszuführen. Beide Fehler wurden durch verbessertes Speichermanagement (ImageIO) bzw. eine "verbesserte Logik" (Wallet) behoben.
Betroffene Geräte: Mac und Apple Watch
Die Sicherheitslücke in ImageIO betrifft auch macOS, die in Version 13.5.2 behoben wurde. Der Fehler in der Wallet-Anwendung ist hier jedoch nicht vorhanden. In watchOS 9.6.2 wurde wiederum nur das Wallet-Problem gelöst, da es anscheinend keine Angriffsmöglichkeit über ImageIO gibt.
Ausgespielt wurden die Updates über die reguläre Softwareaktualisierung; nach einem Neustart sollen die Schwachstellen geschlossen sein. Interessant ist, dass Apple nicht seine neue "schnelle Sicherheitsmaßnahmen" in Form der sogenannten Rapid Security Response (RSR) verwendet hat.
Mögliche Ausnutzung
Die Exploits sollen laut Citizen Lab mindestens von der umstrittenen Sicherheitsfirma NSO Group verwendet worden sein. Die Forscher bezeichnen die Angriffskette als "BLASTPASS", und soll ohne Interaktion des Benutzers zu einer Infektion führen. Detailliertere technische Informationen sollen zu einem späteren Zeitpunkt veröffentlicht werden. Es scheint, dass der Angriff über PassKit-Anhänge mit schädlichen Bildern erfolgte, die von einem iMessage-Konto des Angreifers an das Opfer gesendet wurden.