Apple warnt vor 3 neuen Schwachstellen, die iPhone, iPad und Mac-Geräte zurechenbar sein
[ad_1]
Apple hat die im letzten Monat veröffentlichten Sicherheitshinweise überarbeitet, um drei neue Sicherheitslücken aufzunehmen, die sich hinauf iOS, iPadOS und macOS auswirken.
Dieser erste Fehler ist eine Race-Condition in jener Flugzeugunglück Reporter-Komponente (CVE-2023-23520), die es einem böswilligen Handelnder geben könnte, irgendwelche Dateien wie Root zu Vorlesung halten. Dieser iPhone-Hersteller sagte, er habe dies Problem mit einer zusätzlichen Validierung behoben.
Die beiden anderen Schwachstellen, die dem Trellix-Forscher Austin Emmitt zugeschrieben werden, entscheiden sich im Foundation-Framework (CVE-2023-23530 und CVE-2023-23531) und könnten zur Codeausführung bewaffnet werden.
„Eine App kann unter Umständen beliebigen Kode aus ihrer Sandbox oder mit bestimmten erhöhten Rechten beleuchten“, sagte Apple und fügte hinzu, dass die Probleme mit „verbesserter Speicherverwaltung“ behoben wurden.
Die Schwachstellen mit mittlerem solange bis hohem Schweregrad wurden in iOS 16.3, iPadOS 16.3 und macOS Ventura 13.2 gepatcht, die am 23. Januar 2023 ausgeliefert wurden.
Trellix stufte die beiden Fehler in seinem eigenen Report vom zweiter Tag der Woche wie „neue Lebensart von Fehlern ein, die es geben, Kode-Signaturen zu umgehen, um beliebigen Kode im Kontext mehrerer Plattformanwendungen auszuführen, welches zu einer Eskalation von Privilegien und Sandbox-Escape sowohl hinauf macOS wie selbst hinauf iOS führt .”
Die Fehler umgehen selbst Abwehrmaßnahmen, die Apple möbliert hat, um Zero-Click-Exploits wie FORCEDENTRY zu beheben, die vom israelischen Söldner-Spyware-Provider NSO Group genutzt wurden, um Pegasus hinauf den Geräten jener Zielpersonen einzusetzen.
Infolgedessen könnte ein Angreifer ebendiese Schwachstellen ausnutzen, um aus jener Sandbox auszubrechen und bösartigen Kode mit erhöhten Berechtigungen auszuführen, wodurch unter Umständen Zugriff hinauf Zeitrechnung, Adressbuch, Nachrichtensendung, Standortdaten, Anrufverlauf, Kamera, Mikrofon und Fotos gewährt wird.
Noch beunruhigender ist, dass die Sicherheitsmängel missbraucht werden könnten, um irgendwelche Anwendungen zu installieren oder sogar dies Gerät zu löschen. Dasjenige Ausnutzen jener Schwachstellen erfordert jedoch, dass ein Angreifer schon verschmelzen ersten Käsemauke darin gefunden hat.
„Die oben genannten Schwachstellen stellen verschmelzen erheblichen Verstoß gegen dies Sicherheitsmodell von macOS und iOS dar, dies darauf beruht, dass einzelne Anwendungen verschmelzen feinkörnigen Zugriff hinauf die Untermenge jener benötigten Ressourcen nach sich ziehen und höher privilegierte Dienste Abrufen, um irgendetwas anderes zu erhalten“, sagte Emmitt.
[ad_2]