Apple schließt kritische Sicherheitslücke mit iOS 16.6.1, macOS 13.5.2 und watchOS 9.6.2
Apples Updatebeschreibungen sind oft ziemlich nichtssagend. Dies trifft vor allem dann zu, wenn es vorrangig um Sicherheitsverbesserungen geht – Apple aber erst mit einiger Verzögerung das entsprechende
Supportdokument aktualisiert. Bei den gerade erst erschienenen Aktualisierungen für iOS 16, macOS 13 sowie watchOS 9 lief es einmal mehr genauso ab. Inzwischen ist aber bekannt, warum Apple die neuen Systemversionen aktualisierte und welchen Fehlers man sich annahm. Dieser ist recht kritisch und markiert eine neue Runde im Katz-und-Maus-Spiel zwischen Apple und Pegasus – einmal mehr hatte es die NSO Group geschafft, in die geschützte iPhone-Festung einzudringen.
Pegasus-Spyware konnte mal wieder zuschlagenDie NSO Group betreibt mit Pegasus eine sehr erfolgreiche Komplettlösung, um in iPhones einzubrechen. Es gibt zwar nicht viele Kunden, denn offiziell richtet sich Pegasus nur an Ermittlungsbehörden, wer allerdings bei NSO einkauft, legt viele Millionen auf den Tisch. Mit iOS 16.6.1 gehört eine Sicherheitslücke der Vergangenheit an, die es Pegasus ermöglichte, Spyware ins iPhone einzuschleusen. Laut
Citizen Lab ließ sich der Exploit ohne Interaktion des Nutzers unterbringen und bediente sich dazu einmal mehr eines per iMessage verschickten, manipulierten Bildes in Zusammenhang mit PassKey-Authentifizierung.
ImageIO und Wallet aktualisiertAuch wenn die Chance außerordentlich niedrig ist, Ziel eines Pegasus-Angriffs zu werden, sollte das Update natürlich dennoch installiert werden. Apple dankt im eingangs erwähnten
Supportdokument "Citizen Lab at The University of Torontoʼs Munk School" explizit für die Unterstützung, das Sicherheitsproblem in ImageIO sowie Wallet gemeldet und dokumentiert zu haben. Wie immer reißt Apple in der Aufstellung geschlossener Sicherheitslücken an, was es zur Behebung der Schwachstelle zu tun gab. In ImageIO sorgte ein Pufferüberlauf für das Problem, weswegen es Anpassungen an der Speicherverwaltung gab – und in der Wallet sollen die Verifizierungsroutinen nun auf "verbesserte Logik" setzen.