iOS 18.1.1, iPadOS 18.1.1, macOS Sequoia 15.1.1 oder sogar visionOS 2.1.1, aber auch iOS 17.7.2, iPadOS 17.7.2, sowie der Safari 18.1 Browser für macOS Ventura und macOS Sonoma. Apple veröffentlicht Updates, die der Behebung von Sicherheitslücken dienen.
Diese Veröffentlichung erfolgt dringend, da die beiden zu behebenden Mängel Gegenstand einer aktive Ausnutzung bei Angriffen. Sie betreffen JavaScriptCore und WebKit.
Apple erwähnt in seinem Sicherheitshinweis die Möglichkeit der Ausführung willkürlichen Codes durch die Verarbeitung bösartiger Webinhalte und einen Cross-Site-Scripting-Angriff (XSS; indirekte Codeinjektion) im Zusammenhang mit einem Problem bei der Verwaltung von Cookies.
Eine kleine Vorstellung von der Art der Angriffe
Die beiden 0-Tage-Schwachstellen mit den Referenzen CVE-2024-44308 und CVE-2024-44309 wurden Apple von Sicherheitsforschern unter gemeldet Threat Analysis Group (TAG) von Google. Mangels weiterer Details ist dies bereits ein Hinweis auf den Inhalt der aktiven Ausbeutung.
Die Hauptaufgabe der TAG besteht darin, Akteure aufzuspüren, die an Informationsoperationen, staatlich unterstützten Angriffen und finanziell motivierten Missbräuchen beteiligt sind. Von besonderem Interesse sind die Aktivitäten kommerzieller Spyware-Anbieter.
Ein bemerkenswerter Punkt ist, dass es sich um Betriebsberichte handelt Intel-basierte Mac-Computer. Allerdings sollten Korrekturmaßnahmen nicht bei allen von Apple genannten Systemen vernachlässigt werden.
Weniger 0-Tage-Schwachstellen als im Jahr 2023
Weitere Informationen zu Schwachstellen und Angriffen werden voraussichtlich später folgen, wenn die Patches von den Benutzern ausreichend implementiert wurden.
Nach Angaben von BleepingComputer hat Apple eine Korrektur vorgenommen sechs 0-Tage-Schwachstellen seit Beginn dieses Jahres 2024. Derzeit ist diese Gesamtzahl besser als im letzten Jahr, da etwa zwanzig 0-Tage-Schwachstellen in freier Wildbahn ausgenutzt werden.
