2023-2246: Apple iOS, Apple iPadOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-09-22 11:13)

Neues Advisory

Version 2 (2023-09-27 15:25)

Apple hat den Sicherheitshinweis APPLE-SA-09-26-2023-3 (HT213927) für das iOS 16.7 und iPadOS 16.7 Release aktualisiert und weitere Schwachstellen als behoben aufgeführt. Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers, beispielsweise die Installation einer speziell präparierten App oder den Besuch einer speziell präparierten Webseite.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren und Sicherheitsvorkehrungen zu umgehen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Apple veröffentlicht iOS und iPadOS in den Versionen 16.7 und 17.0.1 als Sicherheitsupdates und weist darauf hin, dass alle Schwachstellen in iOS Versionen vor 16.7 bereits aktiv ausgenutzt werden.

Schwachstellen:

CVE-2023-35990

Schwachstelle in Safari ermöglicht Ausspähen von Informationen

CVE-2023-40395

Schwachstelle in Game Center ermöglicht Ausspähen von Informationen

CVE-2023-40403

Schwachstelle in libxslt ermöglicht Ausspähen von Informationen

CVE-2023-40420

Schwachstelle in CoreAnimation ermöglicht Denial-of-Service-Angriff

CVE-2023-40448

Schwachstelle in App Store ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-40454

Schwachstelle in libxpc ermöglicht Manipulation von Dateien

CVE-2023-41063

Schwachstelle in Pro Res ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-41068

Schwachstelle in MobileStorageMounter ermöglicht Privilegieneskalation

CVE-2023-41070

Schwachstelle in Share Sheet ermöglicht Ausspähen von Informationen

CVE-2023-41073

Schwachstelle in libxpc ermöglicht Ausspähen von Informationen

CVE-2023-41232

Schwachstelle in Biometric Authentication ermöglicht Ausspähen von Informationen

CVE-2023-41981

Schwachstelle in Kernel ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-41984

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-41991

Schwachstelle in Security ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-41992

Schwachstelle in Kernel ermöglicht Privilegieneskalation

CVE-2023-41993

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.