2023-2299: Apple iOS, Apple iPadOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-09-27 17:33)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Administratorrechte zu erlangen, Dateien zu manipulieren, Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und beliebigen Programmcode mit den Rechten des Administrators auszuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers.

Apple hatte iOS und iPadOS in Version 17 als Sicherheitsupdates schon am 17. September 2023 veröffentlicht, jedoch zunächst keine Informationen zu den damit adressierten Schwachstellen mitgeteilt. Mit den am 21. September veröffentlichten iOS und iPadOS in Version 17.0.1 wurden weitere Schwachstellen behoben, die in iOS und iPadOS in Version 16.7 bereits aktiv ausgenutzt wurden (siehe gesondertes Advisory). Aktuell sind iOS und iPadOS in Version 17.0.2 verfügbar (veröffentlicht am 26. September 2023), wofür allerdings keine CVEs aufgeführt werden.

Schwachstellen:

CVE-2023-32361

Schwachstelle in AuthKit ermöglicht Ausspähen von Informationen

CVE-2023-32396

Schwachstelle in Dev Tools ermöglicht Privilegieneskalation

CVE-2023-35074

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35984

Schwachstelle in Bluetooth ermöglicht u. a. Denial-of-Service-Angriff

CVE-2023-35990

Schwachstelle in Safari ermöglicht Ausspähen von Informationen

CVE-2023-38596

Schwachstelle in CFNetwork ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-39434

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40384

Schwachstelle in Airport ermöglicht Ausspähen von Informationen

CVE-2023-40391

Schwachstelle in GPU Drivers ermöglicht Ausspähen von Informationen

CVE-2023-40395

Schwachstelle in Game Center ermöglicht Ausspähen von Informationen

CVE-2023-40399

Schwachstelle in Apple Neural Engine ermöglicht Ausspähen von Informationen

CVE-2023-40400

Schwachstelle in libpcap ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40403

Schwachstelle in libxslt ermöglicht Ausspähen von Informationen

CVE-2023-40409

Schwachstelle in Apple Neural Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40409 CVE-2023-40412 CVE-2023-40432 CVE-2023-41174

Schwachstellen in Apple Neural Engine ermöglichen Ausführen beliebigen Programmcodes

CVE-2023-40410

Schwachstelle in Apple Neural Engine ermöglicht Ausspähen von Informationen

CVE-2023-40412

Schwachstelle in Apple Neural Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40417

Schwachstelle in Safari ermöglicht Darstellen falscher Informationen

CVE-2023-40419

Schwachstelle in Simulator ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40420

Schwachstelle in CoreAnimation ermöglicht Denial-of-Service-Angriff

CVE-2023-40424

Schwachstelle in TCC ermöglicht Ausspähen von Informationen

CVE-2023-40427

Schwachstelle in Maps ermöglicht Ausspähen von Informationen

CVE-2023-40428

Schwachstelle in Siri ermöglicht Ausspähen von Informationen

CVE-2023-40429

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2023-40431

Schwachstelle in GPU Drivers ermöglicht Ausführen beliebigen Programmcodes mit Kernelrechten

CVE-2023-40432

Schwachstelle in Apple Neural Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-40434

Schwachstelle in iCloud Photo Library ermöglicht Privilegieneskalation

CVE-2023-40441

Schwachstelle in GPU Drivers ermöglicht Denial-of-Service-Angriff

CVE-2023-40443

Schwachstelle in Spotlight ermöglicht Erlangen von Administratorrechten

CVE-2023-40448

Schwachstelle in App Store ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-40452

Schwachstelle in Sandbox ermöglicht Manipulation von Dateien

CVE-2023-40454

Schwachstelle in libxpc ermöglicht Manipulation von Dateien

CVE-2023-40456 CVE-2023-40520

Schwachstellen in Photos Storage ermöglichen Privilegieneskalation

CVE-2023-41063

Schwachstelle in Pro Res ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-41065

Schwachstelle in bootp ermöglicht Ausspähen von Informationen

CVE-2023-41068

Schwachstelle in MobileStorageMounter ermöglicht Privilegieneskalation

CVE-2023-41070

Schwachstelle in Share Sheet ermöglicht Ausspähen von Informationen

CVE-2023-41071

Schwachstelle in Apple Neural Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-41073

Schwachstelle in libxpc ermöglicht Ausspähen von Informationen

CVE-2023-41074

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-41232

Schwachstelle in Biometric Authentication ermöglicht Ausspähen von Informationen

CVE-2023-41968

Schwachstelle in Disk Management ermöglicht Ausspähen von Informationen

CVE-2023-41980

Schwachstelle in FileProvider ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-41981

Schwachstelle in Kernel ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-41984

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-41986

Schwachstelle in Music ermöglicht Manipulation von Dateien

CVE-2023-41995

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes mit Kernelrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.