Apple hat Sicherheitsupdates für iOS, iPadOS, macOS, visionOS und seinen Safari-Webbrowser veröffentlicht, um zwei Zero-Day-Schwachstellen zu beheben, die in freier Wildbahn aktiv ausgenutzt werden.
Die Mängel sind unten aufgeführt:
- CVE-2024-44308 – Eine Sicherheitslücke in JavaScriptCore, die bei der Verarbeitung bösartiger Webinhalte zur Ausführung willkürlichen Codes führen kann
- CVE-2024-44309 – Eine Sicherheitslücke bei der Cookie-Verwaltung in WebKit, die bei der Verarbeitung bösartiger Webinhalte zu einem Cross-Site-Scripting-Angriff (XSS) führen kann
Der iPhone-Hersteller sagte, er habe CVE-2024-44308 und CVE-2024-44309 mit verbesserten Prüfungen bzw. einer verbesserten Zustandsverwaltung behoben.
Über die genaue Art der Ausnutzung ist nicht viel bekannt, aber Apple hat eingeräumt, dass die beiden Sicherheitslücken „möglicherweise aktiv auf Intel-basierten Mac-Systemen ausgenutzt wurden“.
Clément Lecigne und Benoît Sevens von der Threat Analysis Group (TAG) von Google werden für die Entdeckung und Meldung der beiden Schwachstellen verantwortlich gemacht, was darauf hindeutet, dass sie wahrscheinlich im Rahmen äußerst gezielter, von der Regierung unterstützter oder von Söldnern unterstützter Spyware-Angriffe ausgenutzt wurden.
Die Updates sind für folgende Geräte und Betriebssysteme verfügbar:
- iOS 18.1.1 und iPadOS 18.1.1 – iPhone XS und höher, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 3. Generation und höher, iPad Pro 11 Zoll 1. Generation und höher, iPad Air 3. Generation und höher, iPad 7 Generation und höher sowie iPad mini der 5. Generation und höher
- iOS 17.7.2 und iPadOS 17.7.2 – iPhone XS und höher, iPad Pro 13 Zoll, iPad Pro 12,9 Zoll 2. Generation und höher, iPad Pro 10,5 Zoll, iPad Pro 11 Zoll 1. Generation und höher, iPad Air 3 Generation und höher, iPad 6. Generation und höher und iPad mini 5. Generation und höher
- macOS Sequoia 15.1.1 – Macs mit macOS Sequoia
- visionOS 2.1.1 – Apple Vision Pro
- Safari 18.1.1 – Macs mit macOS Ventura und macOS Sonoma
Apple hat dieses Jahr bisher insgesamt vier Zero-Day-Angriffe in seiner Software behoben, darunter einen (CVE-2024-27834), der beim Hacking-Wettbewerb Pwn2Own Vancouver demonstriert wurde. Die anderen drei wurden im Januar und März 2024 gepatcht.
Benutzern wird empfohlen, ihre Geräte so schnell wie möglich auf die neueste Version zu aktualisieren, um sich vor potenziellen Bedrohungen zu schützen.
Related News :