Apple behebt die Sicherheitslücke bei der „klicklosen“ 0-Tage-Bildverarbeitung in iOS und macOS

Apple hat heute Sicherheitsupdates für iOS, iPadOS, macOS und watchOS veröffentlicht, um aktiv ausgenutzte Zero-Day-Sicherheitslücken zu beheben, die zur Installation von Malware über ein „böswillig erstelltes Image“ oder einen Anhang genutzt werden können. Die Updates iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 und watchOS 9.6.2 beheben die Mängel auf allen Plattformen von Apple. Zum jetzigen Zeitpunkt wurden keine Updates für ältere Versionen wie iOS 15 oder macOS 12 veröffentlicht.

Die Schwachstellen CVE-2023-41064 und CVE-2023-41061 wurden vom Citizen Lab an der Munk School of Global Affairs & Public Policy der University of Toronto gemeldet . Citizen Lab, auch „BLASTPASS“ genannt, sagt, dass die Fehler schwerwiegend sind, da sie einfach durch das Laden eines Bildes oder Anhangs ausgenutzt werden können, was regelmäßig in Safari, Nachrichten, WhatsApp und anderen Apps von Erst- und Drittanbietern vorkommt. Diese Fehler werden auch „Zero-Click“- oder „Clickless“-Schwachstellen genannt.

Citizen Lab sagte außerdem, dass der BLASTPASS-Fehler „zur Verbreitung der Pegasus-Söldner-Spyware der NSO Group genutzt wurde “, der jüngste in einer langen Reihe ähnlicher Exploits, die zur Infektion vollständig gepatchter iOS- und Android-Geräte verwendet wurden.

Benutzer, die über diese Art von Fehlern besorgt sind, können diese proaktiv beheben, indem sie den Sperrmodus auf ihren iOS- und macOS-Geräten aktivieren . Unter anderem blockiert es viele Anhangstypen und deaktiviert die Linkvorschau, die Art von Angriffsvektoren, die Angreifer nutzen können, um diese „klicklosen“ Schwachstellen auszunutzen.

„Wir glauben, und das Security Engineering and Architecture-Team von Apple hat uns bestätigt, dass der Lockdown-Modus diesen speziellen Angriff blockiert“, sagte Citizen Lab.

Diese Updates werden wahrscheinlich einige der letzten sein, die vor Apples Produktankündigungsveranstaltung im September nächste Woche veröffentlicht werden , bei der wir Veröffentlichungstermine für iOS 17 , iPadOS 17 und möglicherweise andere Software erwarten.