Apple hat am Mittwoch überraschende Software-Updates für iPhones, iPads und Macs veröffentlicht, die zwei Sicherheitslücken schließen, von denen Apple weiß, dass sie von Angreifern aktiv ausgenutzt werden.
Die beiden Schwachstellen wurden in WebKit gefunden, der Browser-Engine, die Safari und andere Apps antreibt, und im Kernel, im Wesentlichen dem Kern des Betriebssystems. Die beiden Fehler wirken sich aus sowohl iOS als auch iPadOSund macOS Monterey.
Apple sagte, dass der WebKit-Fehler ausgenutzt werden könnte, wenn ein anfälliges Gerät auf „in böser Absicht erstellte Webinhalte zugreift und diese verarbeitet, kann zur Ausführung willkürlichen Codes führen“, während der zweite Fehler es einer böswilligen Anwendung ermöglicht, „beliebigen Code mit Kernel-Privilegien auszuführen“, was vollen Zugriff bedeutet zum Gerät. Es wird angenommen, dass die beiden Mängel zusammenhängen.
Einige erfolgreiche Exploits, wie z. B. mächtige nationalstaatliche Spyware, nutzen zwei oder mehr Schwachstellen zusammen, um die Schutzmechanismen eines Geräts zu durchbrechen. Es ist nicht ungewöhnlich, dass Angreifer zunächst auf eine Schwachstelle im Browser des Geräts abzielen, um in das breitere Betriebssystem einzudringen und dem Angreifer umfassenden Zugriff auf die sensiblen Daten des Benutzers zu gewähren.
Laut Apple sind iPhone 6s-Modelle und höher, iPad Air 2 und höher, iPad 5. Generation und höher, iPad mini 4 und höher sowie iPod touch (7. Generation) und alle iPad Pro-Modelle betroffen.
Apple reagierte nicht auf eine Bitte um Stellungnahme.