Apple hat Notfall-Sicherheitsupdates veröffentlicht, um zwei Zero-Day-Schwachstellen in iOS zu beheben, die in Angriffen auf iPhones ausgenutzt wurden. Die beiden Sicherheitslücken wurden im iOS-Kernel (CVE-2024-23225) und RTKit (CVE-2024-23296) gefunden und ermöglichten Angreifern mit beliebigen Kernel-Lese- und Schreibfähigkeiten, den Schutz des Kernel-Speichers zu umgehen.
Das Unternehmen gab an, die Sicherheitsmängel für Geräte, die unter iOS 17.4, iPadOS 17.4, iOS 16.76 und iPad 16.7.6 laufen, durch verbesserte Eingabeüberprüfung behoben zu haben. Die Liste der betroffenen Apple-Geräte ist recht umfangreich und umfasst unter anderem iPhone XS und neuere Modelle, iPhone 8, iPhone 8 Plus, iPhone X, iPad der 5. Generation und iPad Pro 9.7-Zoll.
Apple hat nicht mitgeteilt, wer beide Zero-Days gemeldet hat oder ob sie intern entdeckt wurden. Obwohl Apple keine Informationen über laufende Ausnutzungen im Feld freigegeben hat, werden iOS Zero-Day-Schwachstellen häufig in staatlich gesponserten Spyware-Angriffen gegen Personen mit hohem Risiko wie Journalisten, Oppositionspolitiker und Dissidenten verwendet.
Obwohl diese Zero-Day-Schwachstellen wahrscheinlich nur in gezielten Angriffen verwendet wurden, wird dringend empfohlen, die heutigen Sicherheitsupdates so schnell wie möglich zu installieren, um potenzielle Angriffsversuche zu blockieren.
Mit diesen zwei Schwachstellen hat Apple im Jahr 2024 bisher drei Zero-Days behoben. Im letzten Jahr hat das Unternehmen insgesamt 20 Zero-Day-Mängel behoben, die in freier Wildbahn ausgenutzt wurden, einschließlich zwei Zero-Days im November, zwei im Oktober, fünf im September, zwei im Juli, drei im Juni, drei weitere im Mai, zwei im April und ein weiterer WebKit Zero-Day im Februar.