JARVIS
Apple schließt Lücken die durch aktiv ausgenutzte Exploit einen Angriff auf iPhones, iPads, Macs, sowie auf tvOS und Apple Watch Geräten ausgeführt werden. Hierfür steht das Update 16.3.1 für iOS und iPadOS , sowie macOS 13.2.1, watchOS 9.3.1 und tvOS 16.3.2 bereit.
Die Sicherheitslücke vom Typ „Confusion“ ist im CVE-ID 2023-23529 beschrieben. Die Lücke ermöglicht es über manipulierte Webseiten beliebigen Code auf den Geräten auszuführen. Das Update soll die Überprüfung der Webinhalte verbessern und Schadhaften Code filtern.
Auf iPhones und iPads gibt es zudem eine Lücke im Kernel die einem Angreifer erhöhte Rechte verschafft. Unter macOS 13.2.1 behebt das Update ein Problem in der Kurzbefehle-App, durch die ein Angreifer ungeschützte Nutzerdaten ausspionieren kann. Unter macOS 11 (BigSur) und macOS 12 (Monterey) gibt es einen Fix für den Safari der auf Version 16.3.1 aktualisiert wird.
Weiterhin hat Apple neue Versionen für den Safari Browser für macOS 11 und 12 sowie ein Update für die Firmware des HomePad 16.3.2, veröffentlicht.
Die Updates beheben auch Fehler, wie unter iOS eingeforerene Geräte in den Einstellungen zur iCloud. Zudem wird ein FEhler bei der Unfallerkennung in übergreifenden Apps auf den iPhone 14 und 14 Pro beheben. Hier konnte man mit Siri-Anfragen „Wo ist?“ fehler erzeugen. Auch auf den HomePod 1 und 2 sowie dem HomePod mini werden Fehler mit Siri behoben.
Apple iOS 16.3.1 und iPadOS 16.3.1 Security Notes
Quelle: About the security content of iOS 16.3.1 and iPadOS 16.3.1 – Apple Support
Kernel
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
Impact: An app may be able to execute arbitrary code with kernel privileges
Description: A use after free issue was addressed with improved memory management.
CVE-2023-23514: Xinru Chi of Pangu Lab, Ned Williamson of Google Project Zero
WebKit
Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, iPad mini 5th generation and later
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A type confusion issue was addressed with improved checks.
WebKit Bugzilla: 251944
CVE-2023-23529: an anonymous researcher
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.