Im Zentrum der nachgereichten Korrekturen steht CVE-2023-43010, eine Schwachstelle in WebKit, die beim Verarbeiten speziell präparierter Webinhalte eine Speicherverletzung auslösen kann. Apple hatte den Fehler zunächst in regulären Systemversionen behoben und liefert ihn nun auch für ältere iOS- und iPadOS-Ausgaben nach. Laut Apple wurde die zugehörige Korrektur ursprünglich am 11. Dezember 2023 mit iOS 17.2 ausgeliefert.
Über das einzelne WebKit-Problem hinaus enthalten iOS 15.8.7 und iPadOS 15.8.7 Patches für drei weitere Schwachstellen, die ebenfalls dem Coruna-Exploit zugeordnet werden.
Details zu Coruna wurden in diesem Monat bekannt. Google zufolge umfasst das Exploit-Kit 23 Exploits in fünf Ketten, die auf iPhone-Modelle mit iOS-Versionen zwischen 13.0 und 17.2.1 ausgelegt sind. Das Sicherheitsunternehmen iVerify verfolgt das zugrunde liegende Schadframework unter dem Namen CryptoWaters und sieht Ähnlichkeiten zu früheren Frameworks von Akteuren, die mit der US-Regierung in Verbindung stehen.
Nach Berichten soll Coruna mutmaßlich vom US-Rüstungsdienstleister L3Harris entwickelt und möglicherweise an den russischen Exploit-Broker Operation Zero weitergegeben worden sein. Als Mittelsmann gilt Peter Williams, ein ehemaliger General Manager des Unternehmens, der zu mehr als sieben Jahren Haft verurteilt wurde, weil er mehrere Exploits gegen Bezahlung verkauft hatte.
Bemerkenswert ist, dass Coruna zwei Exploits (CVE-2023-32434 und CVE-2023-38606) einsetzt, die 2023 als Zero-Days in der gegen Nutzer in Russland gerichteten Kampagne Operation Triangulation verwendet wurden. Gegenüber The Hacker News erklärte Kaspersky, jedes hinreichend kompetente Team könne eigene Exploits entwickeln, zumal für beide Lücken öffentlich verfügbare Implementierungen existieren.
“Trotz unserer umfangreichen Untersuchungen können wir Operation Triangulation keiner bekannten APT-Gruppe oder Exploit-Entwicklungsfirma zuordnen”, sagte Boris Larin, Principal Security Researcher bei Kaspersky GReAT, in einer E-Mail an The Hacker News.
Larin betonte die Abgrenzung: Weder Google noch iVerify behaupteten in ihren veröffentlichten Analysen, dass Coruna den Code von Triangulation wiederverwende. Festgestellt werde lediglich, dass zwei Exploits in Coruna – Photon und Gallium – dieselben Schwachstellen ins Visier nehmen. Eine Attribution lasse sich nach Einschätzung von Kaspersky nicht allein auf die Tatsache stützen, dass diese Schwachstellen ausgenutzt würden.
