8. Februar 2019

Roman van Genabith

iOS 12.1.4 schließt zwei bereits aktiv ausgenutzte Sicherheitslücken

Apples Update auf iOS 12.1.4, das gestern Abend erschienen ist, hat nicht nur FaceTime wieder in Ordnung gebracht. Apple hat hier auch zwei Sicherheitslücken geschlossen, die wohl schon aktiv ausgenutzt wurden. Diese Anfälligkeiten bestanden auch auf dem Mac, wo sie vom ebenfalls gestern erschienenden ergänzenden Update für macOS Mojave 10.14.3 beseitigt wurden.

Apple hat mit dem jüngst veröffentlichten Update auf iOS 12.1.4 bekanntlich in erster Linie dafür gesorgt, dass die FaceTime-Implementierung wieder sicher ist und die Gruppenanrufe wieder zurückkehren können. Hier war zuvor ein gravierender Fehler entdeckt worden. Doch darüber hinaus nutzte man das Update auch, um zwei Sicherheitslücken zu beseitigen. Beide Schwachstellen waren sogenannte Zero-Day-Lücken, sie wurden bereits aktiv ausgenutzt, bevor es einen Patch dafür gab. Das behaupten zumindest ihre Entdecker vom Project Zero bei Google, wo man sich speziell auf das Aufspüren genau solcher Schwachstellen spezialisiert hat.

Projektleiter Ben Hawkes twitterte gestern, dass Apple mit iOS 12.1.4 die Löcher gestopft hat.

Beide Lücken erlaubten es einem Angreifer, sich zusätzliche Rechte anzueignen und Code etwa mit Kernel-Rechten auszuführen, hierzu wurde ein Speicherfehler ausgenutzt.

Google findet fleißig Lücken für Apple

Viele der von Apple in iOS und macOS beseitigten Bugs werden von Mitarbeitern des Google Project Zero entdeckt, das lässt sich regelmäßig in den ergänzenden Informationen zu Sicherheitsupdates bei Apple nachlesen. Das Project Zero meldet entdeckte Lücken an den jeweils betroffenen Hersteller, anschließend hat dieser 90 Tage Zeit, die Schwächen zu beheben. Passiert das nicht innerhalb dieser Frist, werden die gefundenen Lücken veröffentlicht. Es hat sich gezeigt, dass diese Praxis eine hervorragende Motivation für die betroffenen Firmen ist. Im vorliegenden Fall erwähnt Apple neben einem anonymen Sicherheitsforscher die Google-Mitarbeiter Clement Lecigne aus der  Google Threat Analysis Group, sowie Ian Beer und Samuel Groß vom Project Zero.

Weitere Artikel

Safari auf iPhone und iPad: Ein verstecktes Menü für die bessere Verwaltung von Tabs

Apple mahnt Entwickler ab, deren Apps zu viel nach Hause telefonieren

3 Gedanken zu „iOS 12.1.4 schließt zwei bereits aktiv ausgenutzte Sicherheitslücken“

  2. Danke Apple! Nach den Updates (Phone&Mac) und 3,5 Stunden Applesupport lassen sich sämtliche iPhones NICHT mehr synchronisieren😡😡

Die Kommentare sind geschlossen.