Sicherheitsfixes: Apple aktualisiert ältere Systeme – und räumt Zero Days ein
Apple hat neben macOS 14.3 und iOS 17.3 auch neue Versionen von iOS 15, 16, macOS 12 und 13 sowie Safari veröffentlicht. Es gab einen erneuten Zero-Day-Exploit.
Apple-Logo mit grünem Hintergrund.
(Bild: Generiert mit Midjourney durch Mac & i)
Nach dem Erscheinen von iOS 17.3, iPadOS 17.3, macOS 14.3, watchOS 10.3 und tvOS 17.3 hat Apple auch Aktualisierungen für mehrere ältere Betriebssystemversionen sowie den Browser Safari vorgelegt. Allesamt liefern sie sicherheitsrelevante Verbesserungen, weitere Fixes kommunizierte Apple bislang nicht.
Drei Zero-Day-Lücken in iOS 15 und 16
Für ältere iPhones und iPads (und Nutzer, die bislang nicht auf iOS respektive iPadOS 17 aktualisieren wollten) liegen nun die Updates 16.7.5 und 15.8.1 vor. In iOS 16 wurden neun Lücken gestopft, in iOS 15 nur zwei. Dabei werden insgesamt drei unterschiedliche Zero-Day-Lücken geschlossen, die allesamt die Browser-Engine WebKit betreffen und für die Apple Berichte über Exploits vorliegen. Es handelt sich um CVE-2024-23222 in iOS 16 und CVE-2023-42916 und CVE-2023-42917 in iOS 15. Nutzer sollten dringend ihr System aktualisieren.
Für den Mac liegen macOS Monterey 12.7.3 und macOS Ventura 13.6.4 vor. Die neue Monterey-Version enthält insgesamt sechs Fixes unterschiedlicher Schweregrade und enthält einen Fix für den Zero-Day-Exploit CVE-2024-23222. Das Ventura-Update kommt mit zehn Fixes und behebt ebenfalls CVE-2024-23222. Neben den Betriebssystem-Updates sollte man dringend auch Safari auf Version 17.3 aktualisieren, das auch Teil von macOS Sonoma 14.3 ist. Darin enthalten sind insgesamt vier Fehlerbehebungen inklusive CVE-2024-23222, das Apple hier nochmals einzeln behebt.
Bislang unklare Herkunft der Exploits
Apple selbst nennt wie üblich keine Details zu den Berichten über Angriffe, teilt nur mit, dass man Informationen habe, dass diese erfolgt sind. Entsprechend können Nutzer nur aktualisieren und hoffen, nicht Opfer geworden zu sein. Bei CVE-2024-23222 handelt es sich um ein sogenanntes Type Confusion Issue, durch das manipulierte Web-Inhalte zur Ausführung beliebigen Codes (wohl aber nicht mit Systemrechten) verwendet werden konnten. Apple adressiert den Bug durch "verbesserte Checks".
Mit CVE-2023-42916 in iOS 15 konnten sensible Daten exfiltriert werden – hier gab es bereits einen Fix in iOS und iPadOS 17.1.2. CVE-2023-42917 in iOS 15 wiederum konnte zur Ausführung beliebigen Codes über manipulierte Websites verwendet werden. Auch hier gab es einen Fix in iOS und iPadOS 17.1.2. Diese Updates erschienen bereits Ende November, Apple hat sich also fast zwei Monate für den Fix älterer Systeme Zeit gelassen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
