Neues Apple-Update soll Sicherheitslücke in ImageIO schliessen
Am letzten Donnerstagabend hat Apple neue Updates für seine Betriebssoftware veröffentlicht. Sie enthalten einen Patch für eine Sicherheitslücke in der Bildverarbeitungssoftware.

Apple stellt seit letztem Donnerstagabend die Versionen iOS 16.6.1, iPadOS 16.6.1 und macOS 13.5.2 zum Download bereit. Die Angaben zu diesen Versionen sind schlicht: Sie enthalten Sicherheitskorrekturen.
Auf Apples offizieller Supportseite ist zu lesen, dass diese Updates einen Fehler im Programm korrigieren sollen. Hierbei handle es sich um eine Sicherheitslücke, mit der Dritte potenziell Zugriff auf das Betriebssystem erlangen können. Wie Apple mitteilt, sind dem Unternehmen Berichte bekannt, wonach einige diese Sicherheitslücke bereits ausgenutzt haben. Dies erfolgt einen Monat nachdem Apple bereits eine kritische Lücke gepatcht hat.
Gemäss der Forschungsorganization Citizen Lab an der University of Toronto werden die Lücken vom Sicherheitsunternehmen NSO Group eingesetzt. Apple hat dieses Unternehmen bereits verklagt. Die Forscher selber haben den Exploit als "BLASTPASS" bezeichnet. Dies, weil der Exploit ohne Aktion eines Nutzers zu einer Infektion auf dem Gerät führt, also ein sogenannter Zero-Click-Angriff.
Laut den Forschenden erfolgt der Angriff über PassKit-Anhänge mit bösartigen Bildern, die der Angreifer über ein iMessage-Konto versendet. Laut Apple sind besonders iOS 16.6 und iPadOS 16.6 anfällig für den Exploit. Der Angriff selbst erfolgt über Lücken in der Bildverarbeitungsroutine ImageIO (CVE-2023-41064). Dies erlaubt die Ausführung von unerwünschten Codes.
Neben der Bildverarbeitungssoftware soll auch die Wallet-App für die Verwaltung von Kreditkarten und Verkehrstickets Sicherheitslücken enthalten. Dies soll ebenfalls zur Ausführung beliebiger Codes führen. Apple möchte beide Probleme durch verbesserte Speicherbehandlung beziehungsweise "eine verbesserte Logik" behandeln.
Übrigens: Einige Tipps, wie Sie sich vor unautorisierten Zugriffen schützen können, finden Sie hier.

Betrüger locken mit vermeintlichen Kryptorückzahlungen

KI etabliert sich in der Cyberabwehr von Schweizer Unternehmen

Die lahmste Maus von Mexiko

Finma fordert besseren Cyberschutz von Swissquote

Wie Unternehmen teure Fehler beim Security Operations Center vermeiden

Herr der Ringe - aber mit Schmäh

Wie Phisher ihren Opfern noch mehr Geld aus der Tasche ziehen

EDÖB verzeichnet Rekorde bei Zugangsgesuchen und Schlichtungsanträgen

"Citrix Bleed 2" gefährdet über 1200 Server
