NSO-Group-Angriff: Notfall-Updates fĂĽr iPhone, iPad, Mac und Apple Watch
Apple hat am Donnerstagabend nochmals Updates fĂĽr seine aktuellen Betriebssysteme nachgeschoben. Enthalten sind Fixes fĂĽr einen aktiven Exploit.
Schnell aktualisieren: Seit Donnerstagabend stehen iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 und watchOS 9.6.2 zum Download bereit. Alle vier Updates fĂĽr iPhone, iPad, Mac und Apple Watch enthalten nur eine schlichte Angabe im Beipackzettel: "Dieses Update bietet wichtige Sicherheitskorrekturen und wird fĂĽr alle Benutzer empfohlen."
Vorsicht: Zero-Click-Angriff
Was damit konkret gemeint ist, findet man auf Apples offizieller Supportseite zum Thema Sicherheitsupdates: Dort werden insgesamt zwei Fehler aufgeführt, für die es laut Apple bereits Exploits in freier Wildbahn gibt: "Apple ist ein Bericht bekannt, wonach dieses Problem aktiv ausgenutzt worden sein könnte."
Laut der Forschungsorganisation Citizen Lab an der University of Toronto, die bekannt dafür ist, digitale Spionageangriffe auf Aktivisten, Journalisten oder Politiker aufzudecken, werden die Lücken vom umstrittenen Sicherheitsunternehmen NSO Group eingesetzt, das von Apple bereits verklagt worden war. Von den Forschern wird die Exploit-Kette als "BLASTPASS" bezeichnet. Sie soll ohne Interaktion eines Benutzers zu einer Infektion geführt haben – als sogenannter Zero-Click-Angriff. Welche Opfer bislang angegriffen wurden, hat Citizen Lab noch nicht mitgeteilt.
Mindestens zwei ausgenutzte LĂĽcken
Die Attacke erfolgte laut der Sicherheitsforscher über PassKit-Anhänge mit bösartigen Bildern, die von einem iMessage-Konto des Angreifers an das Opfer gesendet wurden. Weitere technische Details sollen nachgereicht werden. Besonders anfällig sind laut Apple iOS 16.6 und iPadOS 16.6 sowie vermutlich auch frühere Versionen. Hier gibt es Lücken in der Bildverarbeitungsroutine ImageIO (CVE-2023-41064), die über ein manipuliertes Bild zur Ausführung unerwünschten Codes gebracht werden kann (Apple macht keine Angaben, mit welchen Rechten dies erfolgt).
Weiterhin ist die Wallet-App fĂĽr die Verwaltung von Kreditkarten und Verkehrstickets betroffen (CVE-2023-41061), der man einen manipulierten Anhang unterjubeln konnte. Auch dies fĂĽhrt zur AusfĂĽhrung beliebigen Codes. Behoben wurden beide Fehler durch verbesserte Speicherbehandlung (ImageIO) beziehungsweise "eine verbesserte Logik" (Wallet).
Mac und Apple Watch
Der Fehler in ImageIO steckt auch in macOS, Version 13.5.2 behebt ihn. Der Wallet-Bug fehlt hier allerdings. In watchOS 9.6.2 wurde wiederum nur das Wallet-Problem behoben, hier scheint es via ImageIO keine Angriffsmöglichkeit zu geben.
Interessanterweise handelt es sich bei den Updates nicht um die neuen "schnellen Sicherheitsmaßnahmen" von Apple in Form der sogenannten Rapid Security Response (RSR). Stattdessen werden alle vier Aktualisierungen regulär über die Softwareaktualisierung verteilt und benötigen vollständige Neustarts.
Aufbau der Meldung verändert, um das Angriffspotenzial zu betonen.
Laut Angaben von Citizen Lab sollte Apples Blockierungsmodus den Exploit abgewehrt haben. "Wir empfehlen allen gefährdeten Nutzern, den Lockdown-Modus zu aktivieren, da wir glauben, dass er diesen Angriff verhindert", schreiben die Forscher dazu.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)