In Apples Mobilbetriebssystemen für iPhone und iPad wurde erneut eine Zero-Day-Lücke entdeckt, die mit dem kürzlich freigegebenen iOS/iPadOS 17.0.3 behoben wurde. Das Leck nennt sich CVE-2023-42824, betrifft den XNU Kernel, ermöglicht höhere Rechte für lokale User und wurde
laut der Sicherheitsmeldung von
Apple auf Geräten mit iOS älter als Version 16.6 bereits aktiv ausgenutzt. Mit dem aktuellen Update hat Apple in diesem Jahr schon die 17. Zero-Day-Lücke gestopft.
Des Weiteren fällt mit iOS 17.0.3 das Leck CVE-2023-5217 weg. Es betrifft das VP8-Encoding in der Codec-Library libvpx und erlaubt Angreifern, beliebigen Code einzuschleusen. Die Lücke wird durch einen Heap Buffer Overflow ausgelöst und wurde auch von Google und Microsoft in deren Chromium-basierten Browsern bereits gepatcht.
iOS beziehungsweise iPadOS 17.0.3 ist erhältlich für alle iPhones ab dem XS, iPads Pro 12.9" ab 2. Generation, iPad Pro 10.5", iPad Pro 11", iPad Air 3, iPad 6 und iPad Mini 5. Ältere Geräte lassen sich nicht auf Version 17 aufrüsten. Für deren Besitzer hält Apple seit dem 21. September ein Update auf iOS/iPadOS 16.7 bereit.
(ubi)