Apple schließt zwei Zero-Day-Lücken: Aktualisierung dringend empfohlen

Apple hat kritische Sicherheitsupdates für iOS, iPadOS und macOS veröffentlicht, nachdem zwei Zero-Day-Schwachstellen aktiv für Angriffe ausgenutzt wurden. Die Lücken in WebKit und JavaScriptCore ermöglichen es Angreifern, Schadcode auf betroffenen Geräten auszuführen – bereits durch den bloßen Besuch einer präparierten Website.

Der iPhone-Konzern appelliert an alle Nutzer, die Updates unverzüglich zu installieren. Die Sicherheitslücken wurden gezielt für Angriffe auf Intel-basierte Mac-Systeme eingesetzt. Auch die US-Cybersicherheitsbehörde CISA hat beide Schwachstellen in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen – ein deutliches Zeichen für die Ernsthaftigkeit der Bedrohung.

Die Sicherheitspatches beheben zwei spezifische Schwachstellen, die von Forschern der Google Threat Analysis Group (TAG) entdeckt wurden.

CVE-2024-44308 betrifft JavaScriptCore, die Engine zur Ausführung von JavaScript-Code in Apples Safari-Browser und anderen Anwendungen. Laut Apple-Sicherheitshinweis kann die Verarbeitung manipulierter Webinhalte zur Ausführung beliebigen Codes führen. Solche Lücken sind besonders gefährlich: Angreifer können Befehle ausführen oder Schadsoftware installieren, indem sie Nutzer lediglich auf eine kompromittierte Website locken. Apple gibt an, das Problem durch “verbesserte Überprüfungen” behoben zu haben.

Passend zum Thema iPhone-Updates – technische Begriffe wie WebKit, JavaScriptCore oder Hinweise der CISA sind nicht immer leicht zu verstehen. Das kostenlose iPhone-Lexikon erklärt die 53 wichtigsten Apple‑Begriffe in leicht verständlichem Deutsch, inklusive Aussprachehilfen und kurzen Erläuterungen, damit Sie Sicherheitswarnungen und Update-Hinweise sicher einordnen. Ideal für iPhone- und iPad-Nutzer, die Anleitungen und Sicherheitshinweise schneller nachvollziehen wollen. Gratis iPhone-Lexikon sichern

CVE-2024-44309 ist eine Schwachstelle im Cookie-Management von WebKit, der Browser-Engine hinter Safari und allen Webbrowsern auf iOS und iPadOS. Sie ermöglicht Cross-Site-Scripting-Angriffe (XSS), bei denen Angreifer schädliche Skripte in vom Nutzer betrachtete Webseiten einschleusen können. Die Lücke wurde durch “verbessertes State-Management” geschlossen.

Beide Schwachstellen wurden von Clément Lecigne und Benoît Sevens der Google Threat Analysis Group gemeldet – einem Team, das staatlich unterstützte Hackergruppen und kommerzielle Spyware-Anbieter verfolgt.

Diese Geräte sind betroffen

Apple hat Software-Updates für eine Vielzahl von Geräten bereitgestellt, die sowohl die neuesten als auch ältere Betriebssystemversionen abdecken.

Folgende Versionen sollten installiert werden:
* iOS 18.1.1 und iPadOS 18.1.1: Für iPhone XS und neuer sowie aktuelle iPad-Modelle
* macOS Sequoia 15.1.1: Für Mac-Computer mit dem neuesten Betriebssystem
* visionOS 2.1.1: Für Nutzer der Apple Vision Pro
* Safari 18.1.1: Für Macs mit macOS Ventura und macOS Sonoma

Da viele Nutzer noch nicht auf die neuesten Hauptversionen aktualisiert haben, veröffentlichte Apple zusätzlich iOS 17.7.2 und iPadOS 17.7.2. Diese Updates bieten die gleichen kritischen Sicherheitskorrekturen für Geräte mit iOS 17 und stellen sicher, dass auch Nutzer älterer Firmware vor den aktiven Bedrohungen geschützt sind.

Gezielte Angriffe im Umlauf

In seinen Sicherheitshinweisen bestätigte Apple, dass “möglicherweise bereits aktive Ausnutzung dieser Schwachstellen auf Intel-basierten Mac-Systemen” stattgefunden hat. Konkrete Details zu den Angriffen oder den Urhebern nannte das Unternehmen nicht. Die Zuschreibung an Google TAG deutet jedoch auf hochentwickelte Angreifer hin, möglicherweise unter Einsatz kommerzieller Überwachungssoftware.

Obwohl die Ausnutzung speziell auf Intel-Macs beobachtet wurde, existieren die Schwachstellen im gesamten Apple-Ökosystem – einschließlich Geräten mit Apple Silicon (M-Serie) und mobilen Endgeräten. Sicherheitsexperten vermuten, dass die Konzentration auf Intel-Systeme lediglich die beobachtete Angriffskampagne widerspiegelt, nicht aber eine Einschränkung der Schwachstelle selbst. Folglich sind alle Nutzer gefährdet, die nicht aktualisieren.

Nach Apples Veröffentlichung nahm die US-Cybersicherheitsbehörde CISA beide Schwachstellen in ihren Katalog bekannter ausgenutzter Schwachstellen auf. Dies verpflichtet Bundesbehörden zur Installation der Updates innerhalb typischerweise dreier Wochen und gilt als dringende Empfehlung für Privatunternehmen, diese Patches zu priorisieren.

Ein Jahr voller Notfall-Updates

Diese Veröffentlichung reiht sich in eine Serie von Zero-Day-Patches ein, die Apple 2024 herausgegeben hat. Die Beteiligung von WebKit und JavaScriptCore setzt einen langjährigen Trend fort: Browser-Engines bleiben ein bevorzugtes Angriffsziel für Hacker, die mobile und Desktop-Geräte kompromittieren wollen.

Die Entdeckung durch Google TAG unterstreicht das andauernde Katz-und-Maus-Spiel zwischen großen Technologiekonzernen und kommerziellen Spyware-Anbietern. Ähnliche Schwachstellen wurden in der Vergangenheit für die Verbreitung von Spionagesoftware wie Pegasus oder Predator gegen Journalisten, Aktivisten und politische Persönlichkeiten genutzt. Während Durchschnittsnutzer selten primäres Ziel solch hochpreisiger Exploits sind, bleiben die Patches essenziell: Diese Schwachstellen können letztlich von breiteren Cyberkriminellen-Gruppen verwertet werden.

Sofortiges Handeln erforderlich

Mit der bevorstehenden Vorweihnachtszeit steigt das Online-Aktivitätsvolumen, was Nutzer potenziell anfälliger für Phishing-Versuche und bösartige Webinhalte macht. Die schnelle Bereitstellung dieser Patches signalisiert, dass Apple die Bedrohung als unmittelbar und schwerwiegend einstuft.

Sicherheitsexperten erwarten, dass weitere Details zur Exploit-Kette auf künftigen Cybersicherheitskonferenzen bekannt werden, sobald ausreichend Nutzer ihre Systeme gepatcht haben. In der Zwischenzeit wird empfohlen, “Automatische Updates” auf den Geräten zu aktivieren und manuell über Einstellungen > Allgemein > Softwareupdate nach Updates zu suchen.

“Die Tatsache, dass diese Schwachstellen aktiv ausgenutzt werden, bedeutet: Es gibt keine Zeit zu warten”, warnte ein Cybersicherheitsanalyst. “Egal ob iPhone, iPad oder Mac – die heutige Aktualisierung ist der wirksamste Schritt zum Schutz Ihrer Daten.”

PS: Verstehen Sie Apple-Fachchinesisch nicht auf Anhieb? Das iPhone-Lexikon fasst 53 zentrale Begriffe kompakt zusammen – mit klaren Erklärungen und Aussprachehilfen. Über 455 Leser bewerten den Guide mit 4,7/5 und erhalten das PDF direkt per E‑Mail. Nützlich, um Sicherheits-Meldungen, Update-Hinweise und Expertenbegriffe schneller einordnen zu können. Jetzt iPhone-Lexikon per E‑Mail anfordern