2023-2384: Apple iOS, Apple iPadOS: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-10-05 12:28)

Neues Advisory

Version 2 (2023-10-11 08:43)

Apple veröffentlicht iOS und iPadOS in der Version 16.7.1 als Sicherheitsupdates und weist darauf hin, dass die Schwachstelle CVE-2023-42824 in iOS-Versionen vor 16.6 bereits aktiv ausgenutzt wird. Auch die Schwachstelle CVE-2023-5217 wird in einigen Produkten bereits aktiv ausgenutzt. Die verwendete Bibliothek libvpx wird deshalb auf Version 1.13.1 aktualisiert.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Privilegien zu eskalieren.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Beide Schwachstellen erfordern die Interaktion eines Benutzers.

Apple veröffentlicht iOS und iPadOS in der Version 17.0.3 als Sicherheitsupdates und weist darauf hin, dass die Schwachstelle CVE-2023-42824 in iOS-Versionen vor 16.6 bereits aktiv ausgenutzt wird. Auch die Schwachstelle CVE-2023-5217 wird in einigen Produkten bereits aktiv ausgenutzt (siehe dazu auch CISA: Known Exploited Vulnerabilities Catalog). Die verwendete Bibliothek libvpx wird deshalb auf Version 1.13.1 aktualisiert.

Schwachstellen:

CVE-2023-42824

Schwachstelle in Kernel ermöglicht Privilegieneskalation

CVE-2023-5217

Schwachstelle in libvpx ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.