iOS 7.1: Apple stopft zahlreiche SicherheitslĂĽcken
Mit dem jüngsten Update behebt Apple über zwei Dutzend teils kritische Fehler in seinem Mobilbetriebssystem. Ein Jailbreak ist nun nicht mehr möglich.
Das am Montag erschienene Update auf iOS 7.1 spendiert Apples Mobilbetriebssystem nicht nur einige neue Funktionen und Optimierungen, sondern enthält auch einen ganzen Berg sicherheitsrelevanter Bugfixes. Das geht aus einem mittlerweile veröffentlichten Supportdokument des Herstellers hervor.
Ganz oben auf der Liste stehen insgesamt vier Sicherheitslücken, die vom Hackerteam Evad3rs für dessen im Dezember erstmals erschienenen iOS-7-Jailbreak Evasi0n verwendet wurden. Dabei wurden Fehler beim Geräte-Backup, beim Crash-Reporter, in der Codesignierung der dyld-Bibliothek sowie im Kernel behoben. Entsprechend lässt sich der aktuelle Jailbreak naturgemäß nicht mehr ausführen, Evad3rs hat aber angeblich noch weitere Bugs in der Hinterhand.
Weitere teils signifikante Sicherheitslücken steckten im Bereich der Konfigurationsprofile, bei denen iOS die Ablaufzeit ignorieren konnte und es möglich war, ein Profil vor dem User zu verstecken, in CoreCapture, ImageIO (gleich drei), iOKit, Videotreiber und im Office Viewer.
Im TelephonyUI-Framework befand sich ein Bug, der FaceTime-Audio-Anrufe ohne Nutzerinteraktion von einer Website auslösen konnte, zudem war es möglich, auf FaceTime-Kontakte vom Sperrbildschirm aus zuzugreifen. In der iTunes-Store-App war über den Enterprise-App-Download ein Man-in-the-Middle-Angriff möglich. In der Photos-App erschienen bereits gelöschte Fotos unter transparenten Bildern, weil die Cache-Verwaltung fehlerhaft arbeitete. Ein Bug im USB-Host-Management ermöglichte es, beliebigen Code auszuführen, wenn man direkten Zugriff auf das Gerät hatte (und ein USB-Kabel samt Rechner).
Behoben hat Apple auch einen Fehler, mit dem sich die Fernortung via Find My iPhone von unberechtigten Nutzern abstellen ließ. Zwei weniger schwerwiegende Sicherheitslücken steckten außerdem in Apples Homescreen-Anwendung Springboard; hier war es unter anderem möglich, den Lockscreen einfrieren zu lassen. Gefixt hat Apple auch fast 20 Bugs in seiner Browser-Engine WebKit. In der Zertifikateverwaltung wurden neue Root-Zertifikate hinterlegt beziehungsweise ungültige entfernt.
Ein größeres Sicherheitsupdate stellt auch die Apple TV Software 6.1 dar, die ebenfalls am Montag erschien. (bsc)