2023-1153: Apple iOS, Apple iPadOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-05-19 16:27)

Neues Advisory

Version 2 (2023-05-23 09:24)

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstellen CVE-2023-32409 und CVE-2023-32373 in WebKit in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt werden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen. Zwei Schwachstellen kann ein Angreifer im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen. Mehrere weitere Schwachstellen erlauben einem Angreifer lokal, Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode mit den Rechten eines Administrators auszuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine Schwachstelle ausnutzen, um Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Apple veröffentlicht die iOS Version 15.7.6 und die iPadOS Version 15.7.6 als Sicherheitsupdate zur Behebung der Schwachstellen. Außerdem informiert Apple darüber, dass Informationen vorliegen, die darauf hinweisen, dass die Schwachstellen CVE-2023-28204 und CVE-2023-32373 in WebKit bereits aktiv ausgenutzt werden.

Schwachstellen:

CVE-2023-23532

Schwachstelle in Apple Neural Engine ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-27940

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2023-28181

Schwachstelle in CoreCapture ermöglicht Ausführen beliebigen Programmcodes mit Kernelprivilegien

CVE-2023-28204

Schwachstelle in WebKit ermöglicht Ausspähen von Informationen

CVE-2023-32365

Schwachstelle in Photos ermöglicht Ausspähen von Informationen

CVE-2023-32373

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32384

Schwachstelle in ImageIO ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-32388

Schwachstelle in Accessibility ermöglicht Ausspähen von Informationen

CVE-2023-32391

Schwachstelle in Shortcuts ermöglicht Ausspähen von Informationen

CVE-2023-32397

Schwachstelle in Shell ermöglicht Manipulation von Dateien

CVE-2023-32398

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2023-32403

Schwachstelle in NetworkExtension ermöglicht Ausspähen von Informationen

CVE-2023-32407

Schwachstelle in Metal ermöglicht Ausspähen von Informationen

CVE-2023-32408

Schwachstelle in TV App ermöglicht Ausspähen von Informationen

CVE-2023-32410

Schwachstelle in IOSurface ermöglicht Ausspähen von Informationen

CVE-2023-32412

Schwachstelle in Telephony ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2023-32413

Schwachstelle in Kernel ermöglicht Erlangen von Administratorrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.