2023-1152: Apple iOS, Apple iPadOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-05-19 17:45)

Neues Advisory

Version 2 (2023-05-23 09:24)

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstellen CVE-2023-32409, CVE-2023-28204 und CVE-2023-32373 in WebKit in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt werden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zwei Schwachstellen ermöglichen einem Angreifer im benachbarten Netzwerk das Ausspähen von Informationen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auch mit erweiterten Privilegien auszuführen und falsche Informationen darzustellen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann zwei Schwachstellen ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Apple stellt iOS und iPadOS jeweils in der Version 16.5 als Sicherheitsupdate zur Behebung der Schwachstellen zur Verfügung. Weiterhin informiert Apple darüber, dass es Hinweise auf eine bereits stattfindenden Ausnutzung der WebKit-Schwachstellen CVE-2023-32409, CVE-2023-28204 und CVE-2023-32373 gibt.

Schwachstellen:

CVE-2023-27930

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2023-28191

Schwachstelle in Apple Events ermöglicht Ausspähen von Informationen

CVE-2023-28202

Schwachstelle in System Settings ermöglicht Darstellen falscher Informationen

CVE-2023-28204

Schwachstelle in WebKit ermöglicht Ausspähen von Informationen

CVE-2023-32352

Schwachstelle in LaunchServices ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-32354

Schwachstelle in IOSurfaceAccelerator ermöglicht Ausspähen von Informationen

CVE-2023-32357

Schwachstelle in Sandbox ermöglicht Manipulation von Dateien

CVE-2023-32365

Schwachstelle in Photos ermöglicht Ausspähen von Informationen

CVE-2023-32367

Schwachstelle in Security ermöglicht Ausspähen von Informationen

CVE-2023-32368

Schwachstelle in Model I/O ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32371

Schwachstelle in Associated Domains ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-32372

Schwachstelle in ImageIO ermöglicht Ausspähen von Informationen

CVE-2023-32373

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32376

Schwachstelle in StorageKit ermöglicht Manipulation von Daten

CVE-2023-32384

Schwachstelle in ImageIO ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32385

Schwachstelle in PDFKit ermöglicht Denial-of-Service-Angriff

CVE-2023-32388

Schwachstelle in Accessibility ermöglicht Ausspähen von Informationen

CVE-2023-32389

Schwachstelle in Wi-Fi ermöglicht Ausspähen von Informationen

CVE-2023-32390

Schwachstelle in Photos ermöglicht Ausspähen von Informationen

CVE-2023-32391

Schwachstelle in Shortcuts ermöglicht Ausspähen von Informationen

CVE-2023-32392

Schwachstelle in GeoServices ermöglicht Ausspähen von Informationen

CVE-2023-32394

Schwachstelle in Siri ermöglicht Ausspähen von Informationen

CVE-2023-32398

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2023-32399

Schwachstelle in Core Location ermöglicht Ausspähen von Informationen

CVE-2023-32400

Schwachstelle in Accessibility ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-32402

Schwachstelle in WebKit ermöglicht Ausspähen von Informationen

CVE-2023-32403

Schwachstelle in NetworkExtension ermöglicht Ausspähen von Informationen

CVE-2023-32404

Schwachstelle in Shortcuts ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-32407

Schwachstelle in Metal ermöglicht Ausspähen von Informationen

CVE-2023-32408

Schwachstelle in TV App ermöglicht Ausspähen von Informationen

CVE-2023-32409

Schwachstelle in WebKit ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-32411

Schwachstelle in AppleMobileFileIntegrity ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-32412

Schwachstelle in Telephony ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-32413

Schwachstelle in Kernel ermöglicht Erlangen von Administratorrechten

CVE-2023-32415

Schwachstelle in Weather ermöglicht Ausspähen von Informationen

CVE-2023-32419

Schwachstelle in Cellular ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32420

Schwachstelle in IOSurfaceAccelerator ermöglicht u. a. Ausspähen von Informationen

CVE-2023-32422

Schwachstelle in SQLite ermöglicht Ausspähen von Informationen

CVE-2023-32423

Schwachstelle in WebKit ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.