2024-0579: Apple iOS, Apple iPadOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-03-06 12:37)

Neues Advisory

Version 2 (2024-03-11 15:08)

Apple hat den Sicherheitshinweis APPLE-SA-03-05-2024-1 (HT214081) für iOS und iPadOS aktualisiert und zahlreiche weitere Schwachstellen als behoben aufgeführt. Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um Dateien zu manipulieren und Informationen auszuspähen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann mehrere Schwachstellen ausnutzen, um Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen.

Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich.

Apple veröffentlicht iOS 17.4 und iPadOS 17.4 als Sicherheitsupdates zur Behebung der Schwachstellen

Der Hersteller teilt weiterhin mit, dass die Schwachstellen CVE-2024-23225 und CVE-2024-23296 möglicherweise bereits ausgenutzt worden sind.

Schwachstellen:

CVE-2022-48554

Schwachstelle in File ermöglicht Denial-of-Service-Angriff

CVE-2024-0258

Schwachstelle in libxpc ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23205

Schwachstelle in ExtensionKit ermöglicht Ausspähen von Informationen

CVE-2024-23220

Schwachstelle in Safari ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-23225

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23226

Schwachstelle inWebkit ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23231

Schwachstelle in Share Sheet ermöglicht Ausspähen von Informationen

CVE-2024-23235

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2024-23239

Schwachstelle in Sandbox ermöglicht Ausspähen von Informationen

CVE-2024-23240

Schwachstelle in Photos ermöglicht Ausspähen von Informationen

CVE-2024-23241

Schwachstelle in Spotlight ermöglicht Ausspähen von Informationen

CVE-2024-23242

Schwachstelle in Synapse ermöglicht Ausspähen von Informationen

CVE-2024-23243

Schwachstelle in Accessibility ermöglicht Ausspähen von Informationen

CVE-2024-23246

Schwachstelle in UIKit ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-23250

Schwachstelle in CoreBluetooth-LE ermöglicht Ausspähen von Informationen

CVE-2024-23252

Schwachstelle in Webkit ermöglicht Denial-of-Service-Angriff

CVE-2024-23254

Schwachstelle in Webkit ermöglicht Ausspähen von Informationen

CVE-2024-23255

Schwachstelle in Photos ermöglicht Ausspähen von Informationen

CVE-2024-23256

Schwachstelle in Safari Private Browsing ermöglicht Ausspähen von Informationen

CVE-2024-23259

Schwachstelle in Safari ermöglicht Denial-of-Service-Angriff

CVE-2024-23262

Schwachstelle in Accessibility ermöglicht Darstellen falscher Informationen

CVE-2024-23263 CVE-2024-23284

Schwachstellen in WebKit ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2024-23264

Schwachstelle in Metal ermöglicht Ausspähen von Informationen

CVE-2024-23265

Schwachstelle in Kernel ermöglicht Denial-of-Service-Angriff

CVE-2024-23270

Schwachstelle in ImageProcessing ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23273

Schwachstelle in Safari ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2024-23277

Schwachstelle in Bluetooth ermöglicht Manipulation von Eingaben

CVE-2024-23278

Schwachstelle in libxpc ermöglicht Privilegieneskalation

CVE-2024-23280

Schwachstelle in Webkit ermöglicht Ausspähen von Informationen

CVE-2024-23286

Schwachstelle in ImageIO ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23287

Schwachstelle in Messages ermöglicht Ausspähen von Informationen

CVE-2024-23288

Schwachstelle in AppleMobileFileIntegrity ermöglicht Privilegieneskalation

CVE-2024-23289

Schwachstelle in Siri ermöglicht Ausspähen von Informationen

CVE-2024-23290

Schwachstelle in Sandbox ermöglicht Ausspähen von Informationen

CVE-2024-23291

Schwachstelle in Accessibility ermöglicht Ausspähen von Informationen

CVE-2024-23292

Schwachstelle in Shortcuts ermöglicht Ausspähen von Informationen

CVE-2024-23293

Schwachstelle in Siri ermöglicht Ausspähen von Informationen

CVE-2024-23296

Schwachstelle in RTKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23297

Schwachstelle in MediaRemote ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.