Mit den am Donnerstagabend bereitgestellten Notfall-Sicherheitsupdates für macOS, iOS, iPadOS und watchOS hat Apple zwei neu entdeckte Schwachstellen gestopft, die als kritisch eingestuft und die aktiv ausgenutzt werden. Nach Angaben von Sicherheitsforschern dienten die Lücken Angreifern zur heimlichen Spyware-Installation via iMessage ohne jegliche Nutzer-Interaktion.
In dem Bericht heißt es: "Letzte Woche fand Citizen Lab bei der Überprüfung des Geräts einer Person, die bei einer in Washington DC ansässigen zivilgesellschaftlichen Organisation mit internationalen Büros beschäftigt ist, eine aktiv ausgenutzte Zero-Click-Schwachstelle, über die die Pegasus-Spyware der NSO Group verbreitet wird.
Wir bezeichnen die Exploit-Kette als BLASTPASS. Die Exploit-Kette war in der Lage, iPhones mit der neuesten Version von iOS (16.6) ohne jegliche Interaktion des Opfers zu kompromittieren. Der Exploit beinhaltete PassKit-Anhänge mit bösartigen Bildern, die von einem iMessage-Konto des Angreifers an das Opfer gesendet wurden."
Bild: Apple.
Dies unterstreicht Apples Empfehlung, die Sicherheitsupdates für macOS Ventura 13, iOS 16, iPadOS 16 und watchOS 9 umgehend einzuspielen. In das fast fertige iOS/iPadOS 17 dürfte Apple die Korrektur zeitnah einpflegen (ein Release-Candidate erscheint nächste Woche kurz nach der iPhone-Produktpräsentation).
Unklar ist die Lage bei macOS Monterey 12, iOS 15 und iPadOS 15. Apple hat sich bislang nicht dazu geäußert, ob diese Versionsreihen ebenfalls betroffen sind. Das nächste reguläre Update für Monterey, die Version 12.7, erscheint in eineinhalb bis zwei Wochen. Ob iOS/iPadOS 15 weiter von Apple versorgt wird, ist unklar. macOS Big Sur 11 ist hingegen bereits aus dem Support gefallen.
Nachtrag: Apple veröffentlicht macOS 12.6.9, macOS 11.7.10 und iOS/iPadOS 15.7.9.