Apple schließt zahlreiche Lücken in iOS und iTunes

Von über 90 geschlossenen iOS-Lücken eignen sich 66 potenziell zum Einschleusen von Schadcode. Das Update behebt unter anderem eine Schwachstelle, durch die ein Angreifer mit Siris Hilfe auf einem gesperrten iPhone auf Mails zugreifen konnte.

In Pocket speichern vorlesen Druckansicht 142 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Das am gestrigen Dienstag veröffentlichten Update auf iOS 5.1 bringt nicht nur neue Funktionen und Lösungen für bekannte Probleme; vor allem in puncto Sicherheit hat sich einiges getan. So schließt das iOS-Update insgesamt 91 Schwachstellen, von denen sich 66 potenziell zum Einschleusen von Schadcode eignen.

Die meisten davon befinden sich in Safari und wurden von Apple selbst oder dem Google Chrome Security Team entdeckt – Chrome basiert wie Safari auf Webkit, wodurch viele der in Chrome entdeckten Lücken auch Safari betreffen. Neben Speicherfehlern wurde unter anderem ein Problem der Private-Browsing-Funktion behoben, durch die besuchte Webseiten fälschlicherweise im Verlauf landeten.

Zudem behebt das Update eine vom Bundesministerium für Wirtschaft und Technologie entdeckte Race Condition, durch die man die Passcode-Sperre umgehen konnte. Durch ein weitere Schwachstelle konnte man auf einem gesperrten iPhone 4S mit Siris Hilfe die zuletzt geöffnete Mail an einen beliebigen Kontakt weiterleiten. Ein Fehler in einer Debugging-Funktion ermöglichte speziell präparierten Apps einen Ausbruch aus der Sandbox.

iOS-Geräte mit Version 5 werden automatisch von Apple mit dem Update versorgt. Man kann diesen Vorgang manuell unter Einstellungen, Allgemein, Softwareaktualisierung anstoßen. Alternativ ist die Aktualisierung über iTunes möglich. Apple bietet das Update für alle iPhones ab dem 3GS, die iPads sowie den iPod touch der dritten Generation an.

Zahlreiche der Änderungen an Safari sind auch in den WebKit-Kern von iTunes eingeflossen. Dies soll verhindern, dass sich ein Angreifer im lokalen Netz bei der Nutzung des iTunes Store als Man-in-the-Middle einklinken und etwa die Zugangsdaten abfangen kann. Die fehlerbereinigte Version 10.6 steht für Windows und Mac OS X zum Download bereit. Eine detaillierte Liste der Änderungen gibt es bei Apple. (rei)