Apple hat am Donnerstag drei Zero-Day-Schwachstellen in iOS 17.0.1 und iPadOS 17.0.1 gepatcht, die laut Apple „möglicherweise aktiv gegen iOS-Versionen vor iOS 16.7 ausgenutzt wurden“.
Laut einem von Apple veröffentlichten Advisory handelt es sich bei CVE-2023-41992 um einen Kernel-Fehler, der es einem Angreifer ermöglichen könnte, Berechtigungen zu erhöhen; CVE-2023-41991 ermöglicht „einer bösartigen App“, die Signaturvalidierung zu umgehen; und CVE-2023-41993 ist ein WebKit-Fehler, der es einem Bedrohungsakteur ermöglicht, in böswilliger Absicht „Webinhalte zu verarbeiten“, um Code willkürlich auszuführen.
Zu den gefährdeten Geräten laut Apple gehören: „iPhone XS und neuer, iPad Pro 12,9 Zoll, 2. Generation und neuer, iPad Pro 10,5 Zoll, iPad Pro 11 Zoll, 1. Generation und neuer, iPad Air 3. Generation und neuer, iPad 6. Generation.“ und später, iPad mini 5. Generation und später.“
Alle drei Schwachstellen wurden im Gutachten Bill Marczak vom Citizen Lab an der Munk School der University of Toronto und Maddie Stone von der Threat Analysis Group von Google genannt. Citizen Lab berichtete Anfang dieses Monats über die Entdeckung von CVE-2023-41064, einer aktiv ausgenutzten Zero-Click-Zero-Day-Sicherheitslücke in iOS, die die NSO Group zur Verbreitung ihrer Pegasus-Spyware nutzte.
In ihrem Bericht erklärten die Forscher von Citizen Lab, dass CVE-2023-41064 in einer neuen NSO-Exploit-Kette verwendet wurde, die sie „Blastpass“ nannten. Apple hat eine weitere Zero-Day-Schwachstelle, CVE-2023-41061, entdeckt und gepatcht, die im Blastpass-Exploit ausgenutzt wurde.
Citizen Lab hat im Laufe der Jahre eine große Anzahl von Zero-Day-Angriffen des Spyware-Anbieters gemeldet, darunter auch solche, die Apple-Produkte betrafen. Apple verklagte die NSO Group wegen ihrer Cyberangriffe gegen Apple-Nutzer Ende 2021.
TechTarget Editorial fragte Apple, ob die drei am Donnerstag offengelegten Schwachstellen von einem Spyware-Anbieter wie der NSO Group ausgenutzt wurden, der Technologieriese lehnte jedoch eine Stellungnahme ab.
Update 22.09.2023: Citizen Lab veröffentlichte am Freitag eine neue Studie, die die Ausnutzung der drei Zero-Day-Schwachstellen von Apple auf die Spyware Predator von Cytrox zurückführte. Laut Forschern von Citizen Lab wurde Ahmed Eltantawy, ein ehemaliges Mitglied des ägyptischen Parlaments, zwischen Mai und September 2023 von der Predator-Spyware angegriffen. „Der Angriff erfolgte, nachdem Eltantawy öffentlich seine Pläne bekannt gegeben hatte, bei den ägyptischen Wahlen 2024 für das Präsidentenamt zu kandidieren.“ heißt es in dem Bericht.
Laut Citizen Lab kontaktierte Eltantawy die Organisation aufgrund von Cybersicherheitsbedenken bezüglich seines Telefons. Die Untersuchung ergab die Existenz der neuen Exploit-Kette und der Predator-Spyware, die von einem Sandvine PacketLogic-Gerät, das sich physisch in Ägypten befand, in Eltantawys Telefon eingeschleust wurde. Basierend auf den Ergebnissen schrieb Citizen Lab den Angriff „mit großer Zuversicht“ der ägyptischen Regierung zu.
TechTarget Editorial hat Citizen Lab für weitere Informationen kontaktiert.
Alexander Culafi ist ein in Boston ansässiger Nachrichtenautor, Journalist und Podcaster im Bereich Informationssicherheit.
