iPhone 4.0 schließt 65 Sicherheitslücken

Apples Update auf iOS 4 bringt nicht nur zahlreiche Verbesserungen mit, sondern schließt auch sage und schreibe 65 Sicherheitslücken in der alten Version von iPhone und iPod (touch) 3.1.3. Die meisten davon entfallen auf WebKit und ermöglichten einer präparierten Seite, Schadcode in das iPhone zu schleusen und zu starten. Viele davon wurden über Tipping Point im Rahmen der Zero-Day-Initiative (ZDI) an Apple gemeldet.

Der Sicherheitsdienstleister Tipping Point kauft Exploits an und gibt die Informationen dann gratis an die betroffenen Hersteller weiter. Erst wenn diese einen Patch entwickelt haben, veröffentlicht die ZDI einige Details zur Sicherheitslücke. Zwischen 30.000 und 40.000 US-Dollar soll die Zero-Day-Initiative beispielsweise für den Exploit und Informationen über die Sicherheitslücke bezahlt haben, die bei den im Januar unter dem Codenamen Aurora bekannt gewordenen Angriffen auf Google, Symantec und andere Großunternehmen ausgenutzt wurde.

Erstmals hat Apple auch die seit einem Jahr bekannte Schwachstelle in seiner Implementierung der C-Funktion dtoa (double to ascii) zur Umwandlung von Gleitkommazahlen in Zeichenketten beseitigt. Ursprünglich hatte Maksymilian Arciemowicz den Fehler in der libc-Funktion unter Mac OS X 10.5.x und 10.6.x entdeckt. Während der Fehler im iPhone nun behoben ist, bleibt er den Mac-Anwendern weiter erhalten.

Da das Update nur für die iPhones 3G und 3GS sowie iPods ab der zweiten Generation zur Verfügung steht, bleiben die Lücken auf dem iPhone 2G und iPods der ersten Generation offen. Apple hat sich bislang nicht dazu geäußert, ob es ein separates Sicherheits-Update dafür geben wird. (dab)