Das indische Computer-Notfallteam (CERT-In) unter dem IT-Ministerium hat eine Warnung mit hohem Schweregrad herausgegeben iPhone und iPad-Benutzer. Die Regierungsbehörde hat eine Warnung für iPhone- und iPad-Benutzer herausgegeben, die bestimmte Versionen von verwenden iOS und iPadOS-Betriebssysteme auf ihren Geräten, da mehrere kritische Schwachstellen in diesen Betriebssystemen entdeckt wurden. Die als CVE-2023-28204, CVE-2023-32373 und CVE-2023-32409 identifizierten Schwachstellen wurden vom Indian Computer Emergency Response Team (CERT-In) als „hoher Schweregrad“ eingestuft.
Was die Regierungsbehörde gesagt hat
Nach Angaben der Regierungsbehörde können diese neu entdeckten Sicherheitslücken bei erfolgreicher Ausnutzung potenziell dazu führen, dass Angreifer beliebigen Code ausführen, Sicherheitsmaßnahmen umgehen, erhöhte Berechtigungen erlangen, auf vertrauliche Informationen zugreifen oder Denial-of-Service-Störungen auf betroffenen Geräten verursachen.
Von diesen Schwachstellen betroffene Betriebssysteme
Laut Bericht laufen Benutzer Apfel iOS-Versionen vor 16.5 und iPadOS-Versionen vor 16.5. Darüber hinaus sind auch Benutzer von Apple iOS-Versionen vor 15.7.6 und iPadOS-Versionen vor 15.7.6 von diesen Schwachstellen betroffen.
Warum diese Schwachstellen bestehen
Der Bericht erwähnt, dass diese Schwachstellen in Apple iOS und iPadOS bestehen, weil die Kernel-Komponente von Typverwechslung, Use-After-Free-Fehler, Berechtigungsproblemen und einer Race-Bedingung betroffen ist. Die WebKit-Komponente leidet unter Lesefehlern außerhalb der Grenzen, einem Use-After-Free-Fehler und einem Pufferüberlauf. Weitere betroffene Komponenten sind LaunchServices, IOSurfaceAccelerator, Sandbox, Model I/O, ImageIO, Accessibility, Metal, TV App, Telefonie, Shell, IOSurface, CoreServices, Systemeinstellungen, Fotos, Sicherheit, Zugehörige Domänen, StorageKit, PDFKit, Wi-Fi, Verknüpfungen, GeoServices, Kernstandort, NetworkExtension, AppleMobileFileIntegrity, Wetter, Mobilfunk, Apple Neural Engine, CoreCapture-Kommentar und SQLit-Komponente.
Wie diese Schwachstellen ausgenutzt werden können
Dem Bericht zufolge können Hacker diese Schwachstellen ausnutzen, indem sie einen Remote-Angreifer nutzen, um ein Opfer zum Besuch speziell gestalteter Webinhalte zu verleiten. Sobald das Opfer auf die bösartigen Webinhalte zugreift, kann der Angreifer die identifizierten Sicherheitslücken ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, erweiterte Berechtigungen zu erlangen, vertrauliche Informationen zu extrahieren oder die normale Funktion des Zielgeräts zu stören. Diese Schwachstellen stellen ein erhebliches Risiko für den Datenschutz und die Sicherheit der Daten betroffener Benutzer dar.
Was Benutzer tun können
CERT-In hat Benutzern empfohlen, sofort den richtigen Patch für iOS und iPadOS anzuwenden, um sich vor diesen Schwachstellen zu schützen. Glücklicherweise hat Apple die neueste Version von iOS und iPadOS herausgebracht, die Korrekturen für diese Schwachstellen enthält. Benutzer müssen lediglich ihre Geräte mit iOS Version 16.5 oder höher und iPadOS Version 16.5 oder höher aktualisieren.
Für ältere Geräte, die nicht auf diese Versionen aktualisiert werden können, sollten iOS-Version 15.7.6 oder höher und iPadOS-Version 15.7.6 oder höher installiert sein.
Was die Regierungsbehörde gesagt hat
Nach Angaben der Regierungsbehörde können diese neu entdeckten Sicherheitslücken bei erfolgreicher Ausnutzung potenziell dazu führen, dass Angreifer beliebigen Code ausführen, Sicherheitsmaßnahmen umgehen, erhöhte Berechtigungen erlangen, auf vertrauliche Informationen zugreifen oder Denial-of-Service-Störungen auf betroffenen Geräten verursachen.
Von diesen Schwachstellen betroffene Betriebssysteme
Laut Bericht laufen Benutzer Apfel iOS-Versionen vor 16.5 und iPadOS-Versionen vor 16.5. Darüber hinaus sind auch Benutzer von Apple iOS-Versionen vor 15.7.6 und iPadOS-Versionen vor 15.7.6 von diesen Schwachstellen betroffen.
Warum diese Schwachstellen bestehen
Der Bericht erwähnt, dass diese Schwachstellen in Apple iOS und iPadOS bestehen, weil die Kernel-Komponente von Typverwechslung, Use-After-Free-Fehler, Berechtigungsproblemen und einer Race-Bedingung betroffen ist. Die WebKit-Komponente leidet unter Lesefehlern außerhalb der Grenzen, einem Use-After-Free-Fehler und einem Pufferüberlauf. Weitere betroffene Komponenten sind LaunchServices, IOSurfaceAccelerator, Sandbox, Model I/O, ImageIO, Accessibility, Metal, TV App, Telefonie, Shell, IOSurface, CoreServices, Systemeinstellungen, Fotos, Sicherheit, Zugehörige Domänen, StorageKit, PDFKit, Wi-Fi, Verknüpfungen, GeoServices, Kernstandort, NetworkExtension, AppleMobileFileIntegrity, Wetter, Mobilfunk, Apple Neural Engine, CoreCapture-Kommentar und SQLit-Komponente.
Wie diese Schwachstellen ausgenutzt werden können
Dem Bericht zufolge können Hacker diese Schwachstellen ausnutzen, indem sie einen Remote-Angreifer nutzen, um ein Opfer zum Besuch speziell gestalteter Webinhalte zu verleiten. Sobald das Opfer auf die bösartigen Webinhalte zugreift, kann der Angreifer die identifizierten Sicherheitslücken ausnutzen, um beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, erweiterte Berechtigungen zu erlangen, vertrauliche Informationen zu extrahieren oder die normale Funktion des Zielgeräts zu stören. Diese Schwachstellen stellen ein erhebliches Risiko für den Datenschutz und die Sicherheit der Daten betroffener Benutzer dar.
Was Benutzer tun können
CERT-In hat Benutzern empfohlen, sofort den richtigen Patch für iOS und iPadOS anzuwenden, um sich vor diesen Schwachstellen zu schützen. Glücklicherweise hat Apple die neueste Version von iOS und iPadOS herausgebracht, die Korrekturen für diese Schwachstellen enthält. Benutzer müssen lediglich ihre Geräte mit iOS Version 16.5 oder höher und iPadOS Version 16.5 oder höher aktualisieren.
Für ältere Geräte, die nicht auf diese Versionen aktualisiert werden können, sollten iOS-Version 15.7.6 oder höher und iPadOS-Version 15.7.6 oder höher installiert sein.