Die kürzlich entdeckte Zero-Day-Sicherheitslücke in Apples WebKit, die den Safari-Browser antreibt, wurde als CVE-2024-23222 identifiziert und ist bereits in der Liste der „Known Exploited Vulnerabilities“ (KEV) der US Cybersecurity and Infrastructure Security Agency (CISA) aufgeführt. Dies deutet darauf hin, dass die Schwachstelle aktiv ausgenutzt wird und daher besonders einflussreich sein könnte.
CVE-2024-23222 ist ein Typverwirrungsfehler, bei dem das Verarbeiten von bösartig gestaltetem Webinhalt es einem Angreifer ermöglichen kann, beliebigen Code auf dem Gerät des Opfers auszuführen. Typverwirrungen können in interpretierten Sprachen wie JavaScript und PHP auftreten, die dynamische Typisierung verwenden. Bei einer Typverwirrungsvulnerabilität hat ein Angreifer die Möglichkeit, den Typ einer gegebenen Variablen zu ändern, um unbeabsichtigtes Verhalten auszulösen.
Apple hat Sicherheitsupdates für eine Reihe von Geräten und Betriebssystemen bereitgestellt, um diese Schwachstelle zu beheben. Zu den betroffenen Geräten und Betriebssystemen gehören unter anderem iOS 17.3 und iPadOS 17.3, macOS Sonoma 14.3, iOS 16.7.5 und iPadOS 16.7.5, Safari 17.3, macOS Ventura 13.6.4 und macOS Monterey 12.7.3.
Zusätzlich zu CVE-2024-23222 hat Apple auch Rückportierungen für CVE-2023-42916 und CVE-2023-42917 veröffentlicht, Patches, die ursprünglich im Dezember 2023 für ältere Geräte herausgegeben wurden.
Dies ist die erste aktiv ausgenutzte Zero-Day-Schwachstelle, die Apple in diesem Jahr gepatcht hat. Im letzten Jahr hat das Unternehmen 20 Zero-Days gepatcht, die in realen Angriffen eingesetzt wurden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: