Bereits aktiv ausgenutzt? Sicherheitslücken mit iOS 14.4 gestopft

In der Updatebeschreibung einer neuen Systemversion geht Apple nur selten darauf ein, welche konkreten Sicherheitsverbesserungen die Aktualisierung mitbringt. Lediglich dann, wenn ein Problem sehr intensiv durch die Medien ging, lässt sich ein aussagekräftiger Stichpunkt in den Release Notes finden. Normalerweise äußert sich Apple stattdessen in einem separaten Support-Dokument zu den erkannten und gestopften Sicherheitslücken – so auch im Falle von iOS 14.4. Dort ist zu lesen, dass es möglicherweise sogar zu aktiver Ausnutzung der nun behobenen Probleme gekommen sein könnte.


Sicherheitsproblem 1: Kernel & Race Condition
Apple geht auf zwei Sicherheitslücken ein, welche im Kernel und in WebKit entdeckt wurden. Betroffen sind jeweils iOS und iPadOS 14. Im Falle der Kernel-Verwundbarkeit war es Angreifern möglich, ein manipuliertes Programm zum Erschleichen von Zugriffsrechten einzusetzen. Einem Bericht zufolge geschah dies angeblich auch, so Apple in der Erklärung. Ob und in welchem Ausmaß es zur Ausnutzung kam, ist indes nicht bekannt. Um die Lücke zu schließen, ging Apple eine Race Condition durch verbessertes Locking an.

Sicherheitsproblem 2: WebKit und Code-Ausführung
Das zweite Sicherheitsproblem in Verbindung mit WebKit erlaubte in zweierlei Weise ungewollte Code-Ausführung – was möglicherweise ebenfalls bereits erfolgt ist. Wie bei der ersten Lücke verweist Apple auf einen Bericht, der genau dies behauptet. Die Behebung des Problems, welches von einem "anonymen Forscher" gemeldet wurde, erfolgte durch Anpassung der Programmlogik. Apple schließt das Dokument mit dem Hinweis, weitere Informationen seien "bald verfügbar".

macOS 11.2 fehlt noch
Apple gab zwar iOS 14.4 und iPadOS 14.4 frei, macOS 11.2 hat allerdings die Testphase noch nicht verlassen und liegt seit Montag als "Release Candidate 2" vor. Da sich macOS und iOS die meisten Systemkomponenten teilen, ist es nicht unwahrscheinlich, dass die Behebung der genannten Sicherheitsprobleme auch Bestandteil des unmittelbar bevorstehenden macOS-Updates wird. Dieses könnte bereits ab heute oder morgen zur Verfügung stehen.

Kommentare

DTP
DTP27.01.21 09:37
MTN
[…] erkannten und gestopften Sicherheitslücken – so auch im Falle von iOS 14.4. Dort ist zu lesen, dass es möglicherweise sogar zu aktiver Ausnutzung der nun behobenen Probleme gekommen sein könnte.
Wichtiger noch, sobald Apple Sicherheitslücken flickt, schauen sich viele Leute genau die behobenen Bereiche an. Auch Leute, die die Sicherheitslücken dann ausnutzen wollen.

Das heißt, Apple zeigt ihnen notwendigerweise, wo Nutzer, die noch nicht aktualisiert haben, angreifbar sind.

Die Überschrift sollte daher vielleicht heißen:
Bereits aktiv ausgenutzt? Spätestens jetzt! Sicherheitslücken in iOS 14.4 gestopft

Daher: Unbedingt sofort aktualisieren!
+1
Fucko27.01.21 09:59
Der Titel suggeriert, als seien die Sicherheitslücken in 14.4. "Sicherheitslücken durch ios 14.4 gestopft" wäre passender
+2
MCDan27.01.21 16:40
Betroffen sind jeweils iOS und iPadOS 14

Sind diese Lücken also erst ab iOS/iPadOS 14 aufgetaucht?
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.