iOS 17.4 und iOS 16.7.6: Wichtige sicherheitskritische Bugfixes
Apple hat einmal mehr schwere SicherheitslĂĽcken im iPhone-Betriebssystem gestopft, die bereits ausgenutzt werden. Ein schnelles Update ist angeraten.
Das am Dienstagabend von Apple freigegebene iOS 17.4 schlieĂźt auch zwei problematische SicherheitslĂĽcken, die laut Angaben des Herstellers bereits von (bislang unbekannten) Angreifern ausgenutzt werden. Mindestens eine der LĂĽcken steckt auch in iOS 16, das Apple mittlerweile auf iOS 16.7.6 aktualisiert hat.
Kernel und RTKit
Die in iOS 17.4 gefixten Bugs, für die es Exploits gibt, betreffen die Bereiche Kernel (CVE-2024-23225) und RTKit (CVE-2024-23296). Im Kernel kann ein Angreifer den dortigen Speicherschutz aushebeln, wenn er nur über eine beliebige Lese- und Schreibfähigkeit für den Kernel verfügt. Im systemnahen RTKit gibt es ein ähnliches Problem, das den Speicherschutz aushebeln kann. Beide Bugs wurden durch "verbesserte Validierung" behoben, schreibt Apple.
Für CVE-2024-23225 und CVE-2024-23296 liegt laut dem Unternehmen jeweils ein Bericht vor, "dass das Problem möglicherweise ausgenutzt wurde". Wie üblich macht der Konzern hierzu leider keinerlei weitere Angaben. Der Kernelfehler wird in iOS 16.7.6 behoben, das ebenfalls seit Dienstagabend bereitsteht, der RTKit-Bug hingegen nicht – ob er in iOS 16 nicht existiert, ist unklar.
Auch iOS 15 erhält ein Update
In iOS 17.4 nennt Apple sechs weitere Bereiche, in denen Sicherheitspatches eingespielt wurden, darunter Barrierefreiheit (Datenschutzproblem mit Logdateien), Safari Private Browsing (Tabs waren kurzzeitig sichtbar trotz Gesperrt-Modus), AirDrop, Mail-Konversationsansicht, NetworkExtension und Systemeinstellungen. Dabei dürfte es aber nicht bleiben, denn laut Apple werden "zusätzliche CVE-Einträge bald" nachgereicht, iOS 17.4 schließt also noch mehr Lücken.
Die genannten sicherheitskritischen Fehler stecken auch in iPadOS, dieses sollte ebenfalls auf Version 17.4 aktualisiert werden, für iPadOS 16 steht Version 16.7.6 bereit. Apple hat außerdem iOS 15.8.2 und iPadOS 15.8.2 für ältere iPhones und iPads veröffentlicht, aber bislang keine Angaben dazu gemacht, was bei diesen neu ist. Sicherheitsrelevante Inhalte sind offenbar nicht dabei, zumindest führt Apple hier bislang keine auf und teilt nur mit, dass es "keine veröffentlichten CVE-Einträge" gibt.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)