Apple hat mehrere neue Sicherheitsupdates für viele seiner Geräte veröffentlicht, darunter iPhone, iPad und Mac, um verschiedene Probleme zu beheben, darunter eine Zero-Day-Schwachstelle, die bereits ausgenutzt wurde.
Die Schwachstelle betrifft den Kernel, der die Hardware des Geräts steuert, und kann es bösartigen Apps ermöglichen, den Status des Geräts zu ändern. Sie wird unter der Bezeichnung CVE-2023-38606 geführt.
Der Zero-Day ist die dritte Schwachstelle in Apple-Geräten im Rahmen der Operation Triangulation, einer Cyberspionage-Kampagne, die seit 2019 auf iOS-Geräte abzielt, die keine Aktionen des Nutzers erfordern, um aktiv zu werden.
Operation Triangulation
Forscher von Kaspersky sollen den Vorgang entdeckt und diese neueste Schwachstelle gemeldet haben. Die Schwachstelle betrifft ältere iOS-Versionen. Apple erklärt, dass es "Kenntnis von einem Bericht hat, wonach diese Schwachstelle aktiv für iOS-Versionen vor iOS 15.7.1 ausgenutzt worden sein könnte".
Apple hat das Problem behoben, indem es die Statusverwaltung des Geräts verbessert hat.
Der leitende Kaspersky-Forscher Boris Larin behauptet, dass diese Schwachstelle genutzt wird, um die Spionagesoftware Triangulation über einen Exploit in iMessage zu verbreiten.
Die neuen Sicherheitsupdates sind für iOS, iPadOS, macOS (Big Sur, Monterey und Ventura), tvOS, watchOS-Geräte und den Safari-Browser verfügbar.
Seit Anfang des Jahres hat Apple insgesamt 11 Zero Days gepatcht, die von Angreifern ausgenutzt wurden und Macs, iPads und iPhones betrafen. Kürzlich wurde auch ein Fix für das WebKit veröffentlicht, bei dem eine Schwachstelle zur Ausführung von beliebigem Code hätte führen können.
Ende letzten Jahres hat das Unternehmen außerdem die neue Funktion Rapid Security Response eingeführt, mit der Patches schneller an die Kunden verteilt werden können. Im Mai dieses Jahres wurde sie zum ersten Mal eingesetzt, um Macs, iPads und iPhones zu patchen.
