Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Für Angriffe ausgenutzte Lücken: Apple liefert Patch für iOS 16 nach

Das Update schließt laut Apple zwei kritische Zero-Day-Lücken in der älteren iOS-Version, die in iOS 17 bereits gepatcht sind. Für iOS 15 liegt kein Update vor.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen
Eine Hand hält ein iPhone, darunter steht ein geöffnetes MacBook

(Bild: nikkimeel/Shutterstock.com)

Lesezeit: 2 Min.
Mac & i
Von

Kritisches Update für iOS 16: Apple hat am Dienstagabend einen wichtigen Patch für die beiden älteren Versionen der Betriebssysteme iOS und iPadOS nachgeliefert. Die Updates auf Version 16.7.1 sollen zwei Zero-Day-Schwachstellen beseitigen. Eine der Lücken wurde nach Angabe des Herstellers vermutlich aktiv für Angriffe gegen iOS-Version vor 16.6 ausgenutzt, entsprechend sollten Nutzer die neue Version zügig installieren. Die neue Version lässt sich über die integrierte Software-Aktualisierung herunterladen und ist für alle iPhones ab iPhone 8 erhältlich. iPadOS 16.7.1 ist entsprechend für alle iPads verfügbar, die iPadOS 16 unterstützen.

Beide Schwachstellen offenbar für Angriffe verwendet

iOS und iPadOS 16.7.1 patchen eine Kernel-Schwachstelle, die es einem bereits eingedrungenen Angreifer ermöglicht, erweiterte Rechte zu erhalten. In Kombination mit einer ebenfalls gestopften Lücke in WebRTC, die das Einschleusen von Schadcode erlaubt, war es damit theoretisch auch entfernten Angreifern möglich, Geräte zu übernehmen.

Letztgenannte Schwachstelle CVE-2023-5217 betrifft das VP8-Enconding in der Video-Bibliothek libvpx und betrifft damit weit mehr als nur iOS. Ein erfolgreicher Angriff kann demnach einen Speicherfehler (Heap Buffer Overflow) auslösen. Die Schwachstelle wird nach Angabe von Google-Sicherheitsforschern, die diese mit entdeckt haben, ebenfalls für Angriffe genutzt, Browser wie Chrome haben bereits Updates erhalten. Für iOS 17 liegt mit Version 17.0.3 seit einer knappen Woche ebenfalls ein Patch vor, ob die Lücken auch in macOS gestopft sind, ist derzeit nicht klar. Wofür die Sicherheitslücken ausgenutzt wurden, bleibt unklar, möglicherweise wurde damit gezielt Spyware eingeschleust. Apple hat seit Jahresanfang insgesamt achtzehn dokumentierte Zero-Day-Lücken in seinen Betriebssystemen beseitigt.

Bislang kein Patch für iPhone 7 und iOS 15

Für ältere iPhones und iPads, die iOS 16 und iOS 17 nicht installieren können, liegt aktuell kein Patch vor. Das betrifft etwa iPhone 7 und iPhone 6s. Apple liefert gewöhnlich relative lange Sicherheits-Updates auch noch für alte Hardware, hat sich aber nie auf einen konkreten Zeitraum festgelegt. Das letzte Sicherheits-Update für iOS 15 ist im September erschienen, den letzten Patch für iOS 12 (iPhone 6 und iPhone 5s) gab es Anfang 2023.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: iOS

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten