Apple hat am Dienstag Sicherheitsupdates veröffentlicht, von denen es sagt, dass sie „allen Benutzern empfohlen“ werden, nachdem zwei Sicherheitslücken behoben wurden, die bei aktiven Cyberangriffen auf Mac-Benutzer verwendet wurden.
In einem Sicherheitshinweis auf seiner Website gab Apple an, dass ihm zwei Schwachstellen bekannt seien, die „möglicherweise aktiv auf Intel-basierten Mac-Systemen ausgenutzt wurden“. Die Fehler gelten als „Zero-Day“-Schwachstellen, da sie Apple zum Zeitpunkt ihrer Ausnutzung unbekannt waren.
Um die Fehler zu beheben, hat Apple ein Software-Update für macOS sowie Korrekturen für iPhones und iPads veröffentlicht, darunter auch für Benutzer, die die ältere iOS 17-Software verwenden.
Es ist noch nicht bekannt, wer hinter den Angriffen auf Mac-Benutzer steckt oder wie viele Mac-Benutzer angegriffen wurden – oder ob einige davon erfolgreich kompromittiert wurden. Die Sicherheitslücken wurden von Sicherheitsforschern der Threat Analysis Group von Google gemeldet, die von der Regierung unterstützte Hacking- und Cyberangriffe untersucht, was darauf hindeutet, dass ein staatlicher Akteur an den Angriffen beteiligt sein könnte. Bei staatlich unterstützten Cyberangriffen kommt manchmal kommerzielle Telefon-Spyware zum Einsatz.
Was die Fehler selbst betrifft, sagte Apple, dass die Schwachstellen sich auf WebKit und JavaScriptCore beziehen, die Web-Engines, die den Safari-Browser antreiben und Webinhalte ausführen. WebKit ist ein häufiges Ziel böswilliger Hacker, die die Engine auf Schwachstellen abzielen, um in die umfassendere Software des Geräts einzudringen und auf die privaten Daten des Benutzers zuzugreifen.
Laut Sicherheitshinweis können die Fehler ausgenutzt werden, indem anfällige Apple-Geräte dazu verleitet werden, böswillig erstellte Webinhalte wie eine Website oder E-Mail zu verarbeiten, um die Ausführung willkürlichen Codes auszulösen, der das Einschleusen von Malware auf das Gerät eines Ziels ermöglichen kann.
Benutzer sollten ihre iPhones, iPads und Macs so schnell wie möglich aktualisieren.
Auf Anfrage von TechCrunch am Dienstag äußerte sich Apple nicht dazu.