Mel
Mit dem in der vergangenen Woche veröffentlichten Update von iOS 16.3.1 hat Apple auch mehrere Sicherheits-Patches für iPhones und iPads veröffentlicht. Obwohl der Konzern die Patches schon auf der eigenen Website beschrieben hatte, wurde die Seite nun nochmals aktualisiert. Offenbar gab es noch weitere Exploits, die Apple mit dem jüngsten Update behoben hat.
Ein Twitter-User bemerkte, dass Apple eine neue CVE (Common Vulnerabilities and Exposures) für iOS 16.3.1 sowie drei neue CVEs für iOS 16.3, das im Januar veröffentlicht wurde, der Website hinzugefügt habe. Die von Apple aufgelistete neue Schwachstelle, die mit iOS 16.3.1 geschlossen wurde, steht im Zusammenhang mit einem „böswillig erstellten Zertifikat“, das zu einem Denial-of-Service-Angriff (DoS) führen kann, wenn der Angreifende das Gerät oder Netzwerk mit Datenverkehr überflutet, um so einen Absturz auszulösen. Laut Apple wurde dieses DoS-Problem durch eine „verbesserte Eingabevalidierung“ behoben.
Auch WebKit-Sicherheitslücke mit iOS 16.3.1 und macOS 13.2.1 behoben
Was besonders interessant erscheint, ist die Tatsache, dass auch die Website mit den Sicherheitsinhalten von iOS 16.3 um drei neue Schwachstellen aktualisiert wurde, die man mit dem Update behoben hat. Eine der Schwachstellen, die sich im Crash Reporter des Systems fand, konnte es Angreifenden ermöglichen, beliebige Dateien als Root zu lesen. Zwei weitere Exploits erlaubten es, beliebigen Code auf dem iPhone oder iPad mit höheren Rechten auszuführen und so die Sandbox der App zu umgehen.
Bisher ist unklar, warum Apple die entsprechenden Sicherheits-Schwachstellen nicht schon vorher kommuniziert hat. Möglicherweise wollte man durch eine zu frühe Bekanntgabe verhindern, dass böswillig handelnde Personen die Schwachstellen vor dem Patch ausnutzen. Mit macOS 13.2.1 und iOS 16.3.1 wurde darüber hinaus eine Sicherheitslücke im Zusammenhang mit WebKit, der Engine von Apples eigenem Safari-Browser, geschlossen. Diese wurde laut Apple „aktiv ausgenutzt“. Weitere Infos zu Apples Sicherheits-Updates finden sich auf dieser Website.
