Das indische Computer Emergency Response Team oder CERT-In, das vom Ministerium für Elektronik und Informationstechnologie ernannt wurde, hat mehrere sehr schwerwiegende Schwachstellen in iOS, iPadOS und macOS entdeckt. Außerdem fanden sie Sicherheitslücken in Googles ChromeOS- und Mozillas Firefox-Browser. Nach Angaben der Agentur können diese Sicherheitslücken verwendet werden, um Sicherheitsbeschränkungen zu umgehen und DoS- oder Denial-of-Service-Angriffe auf Benutzer auszulösen, wodurch ihre Geräte unbrauchbar werden.
Computer mit macOS Catalina mit Sicherheitspatch vor 2022-005, macOS Big Sur-Versionen vor 11.6.8 und macOS Monterey-Versionen vor 12.5 sind gefährdet. Diese Schwachstellen in macOS sowie iOS und iPadOS können von Angreifern aus der Ferne ausgenutzt werden; Sie müssen die Opfer lediglich dazu überreden, eine bösartige Website zu besuchen. Der Angreifer kann dann beliebigen Code ausführen, der Sicherheitsbeschränkungen umgeht und den DoS-Angriff auf das Gerät verursacht.
Die macOS-Sicherheitslücken bestehen aufgrund von unzulässigem Lesen in AppleScript, SMB und Kernel, unzulässigem Schreiben in Audio, ICU, PS Normalizer, GU-Treibern, SMB und WebKit. Darüber hinaus wurden Berechtigungsprobleme in AppleMobileFileIntegrity gefunden; Offenlegung von Informationen im Kalender und in der iCloud-Fotobibliothek.
Ähnliche Schwachstellen wurden auch in iPadOS- und iOS-Versionen vor 15.6 gefunden.
Wie bei Mozilla Firefox weisen Versionen vor 103, ESR-Versionen vor 102.1 und 91.12 Sicherheitslücken auf. Diese Fehler sind auf Speichersicherheitsfehler in der Browser-Engine, einen Prefetch-Cache, der die Integrität von Unterressourcen umgeht, und ein Informationsleck bei der standortübergreifenden Ressourcenumleitung bei Verwendung der Performance-API zurückzuführen, um nur einige zu nennen. Durch die Verwendung dieser Schwachstellen können Angreifer auf vertrauliche Informationen auf Zielcomputern zugreifen.
Google ChromeOS leidet unter ähnlichen Schwachstellen wie Firefox. Sie existieren in Google ChromeOS LTS-Kanalversionen vor 96.0.4664.215 aufgrund von Out-of-Bounds-Read-in-Compose-Komponente, falscher Implementierung in der Erweiterungs-API und Benutzerfehlern nach der Veröffentlichung in der Blink-XSLT-Komponente, um nur einige zu nennen.
Laut CERT-In können diese Sicherheitslücken durch die Installation von Software-Updates gepatcht werden, und Benutzer dieser Betriebssysteme und Browser sollten die neuesten Sicherheitsupdates so schnell wie möglich installieren.
