Zum Karfreitag hat Apple wichtige Updates für iOS, macOS und iPadOS veröffentlicht: iOS und iPadOS 16.4.1 und macOS 13.3.1. Laut Apple werden einige der damit geschlossenen Lücken bereits aktiv ausgenutzt (Active Exploit). Daher ist eine schnelle Installation der Updates entsprechend sinnvoll.

In der Browser-Engine WebKit und im Framework IOSurfaceAccelerator befinden sich die kritischen Lücken. Ein Out-of-bounds-Write-Fehler kann bei IOSurfaceAccelerator die Ausführung von beliebigem Code mit Kernelprivilegien erlauben (CVE-2023-28206). Über ein Use-after-free-Problem im WebKit (CVE-2023-28205) können Angreifer über eine manipulierte Website auch beliebigen Code ausführen.

Beide Lücken sollen bereits aktiv ausgenutzt werden. Sie wurden von der Google Threat Analysis Group und dem Security Lab von Amnesty International entdeckt.

Die IOSSurfaceAccelerator- und WebKit-Sicherheitslücke wurde außerdem auch in macOS 13.3.1 geschlossen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE