Darum geht's - TL;DR 

• Apple hat Sicherheitsupdates für iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 und watchOS 9.6.2 veröffentlicht, um Zero-Day-Sicherheitslücken zu beheben.
• Die Lücken wurden genutzt, um Malware über ein böswillig erstelltes Bild oder Anhang zu installieren.
• Die Spyware Pegasus wurde über diese Lücke auf einem iPhone installiert.
• Die Sicherheitslücken bestehen aus PassKit-Anhängen, die über iMessage gesendet werden.
• Apple hat die Updates wenige Tage nach Entdeckung des Exploits veröffentlicht.

Update auf iOS und iPadOS 16.6.1 und macOS 13.5.2

Der Zero-Click Zero-Day Exploit wurde verwendet, um die Spyware Pegasus der NGO Group auf einem iPhone zu installieren, das einem Mitarbeiter einer in Washington DC ansässigen zivilgesellschaftlichen Organisation gehörte. Pegasus ist eine Spyware, die von einem privaten Auftragnehmer für den Einsatz in Regierungsbehörden entwickelt wurde. Die Spyware infiziert ein Telefon und sendet Daten zurück, darunter Fotos, Nachrichten und Audio-/Videoaufnahmen.

Die Sicherheitslücke besteht aus PassKit-Anhängen, die über iMessage gesendet werden.

Apple hat nur wenige Tage nach der Entdeckung dieses Exploits iOS 16.6.1 veröffentlicht. Besitzer eines iPhones sollten dieses Update unbedingt installieren, auch wenn sie wahrscheinlich nicht von der Spyware betroffen sind.

Die Schwachstellen CVE-2023-41064 und CVE-2023-41061 wurden vom Citizen Lab an der Munk School of Global Affairs & Public Policy der Universität Toronto gemeldet. Citizen Lab bezeichnet die Fehler auch als "BLASTPASS" und sagt, dass sie schwerwiegend sind, weil sie einfach durch das Laden eines Bildes oder Anhangs ausgenutzt werden können, was regelmäßig in Safari, Messages, WhatsApp und anderen Anwendungen von Erst- und Drittanbietern geschieht. Diese Fehler werden auch als "Zero-Click"- oder "klicklose" Sicherheitslücken bezeichnet.

Laut der Sicherheits-Supportseite von Apple kann die Verarbeitung eines in böser Absicht erstellten Bildes in iOS, iPadOS und macOS zur Ausführung von beliebigem Code führen, wodurch ein Hacker mit einem einfachen Bild Zugriff auf das Betriebssystem erlangen kann. Apple behebt den ImageIO-Prozess, indem es ein Pufferüberlaufproblem behebt und die Speicherverwaltung verbessert.

In iOS, iPadOS und watchOS konnte ein in böser Absicht erstellter Anhang in der Wallet-App ebenfalls zur Ausführung von beliebigem Code führen. Apple hat das Validierungsproblem mit einer verbesserten Logik behoben.

Da diese Updates wichtige Sicherheitsbehebungen enthalten, sollte jeder iOS 16.6.1, iPadOS 16.6.1, macOS 13.5.2 und watchOS 9.6.2 so schnell wie möglich installieren. Apple empfiehlt diese Software-Updates für alle Nutzer.

Diese Updates werden wahrscheinlich einige der letzten sein, die vor Apples Produktankündigung im September nächste Woche veröffentlicht werden. Dort erwarten wir die Veröffentlichungstermine für iOS 17, iPadOS 17 und möglicherweise andere Software.

Offizielle Veröffentlichungshinweise iOS und iPadOS

Dieses Update enthält wichtige Sicherheitskorrekturen und wird allen Benutzer:innen empfohlen.

Weitere Informationen zu den Sicherheitsaspekten von Apple-Softwareupdates findest du auf dieser Website:

https://support.apple.com/kb/HT201222

Offizielle Veröffentlichungshinweise macOS

Dieses Update enthält wichtige Sicherheitsupdates und wird allen

Benutzer:innen empfohlen.

Weitere Informationen zu den Sicherheitsaspekten von Apple-Softwareupdates findest du auf dieser Website: https://support.apple.com/kb/HT201222