Exploit in the wild: Apple räumt schwere iPhone- und iPad-Sicherheitslücken ein
Ein Loch im Kernel und zwei in der Browser-Engine WebKit seien womöglich bereits aktiv ausgenutzt worden, teilt der Konzern mit.
iOS 14.
(Bild: Apple)
iPhone- und iPad-Nutzer sollten schnellstmöglich iOS beziehungsweise iPadOS 14.4 einspielen. Die gestern Abend publizierten Updates bringen nicht nur kleinere neue Funktionen und Fehlerbehebungen, sondern patchen auch drei potenziell problematische Lücken. Diese stecken im Kernel (Race Condition) sowie in WebKit (Logikfehler). Mit dem Kernel-Bug konnten sich Angreifer höhere Systemrechte holen, als ihnen erlaubt sein sollte und mit den WebKit-Bugs war sogar das Ausführen bösen Codes möglich.
"Aktiv ausgenutzt"
Apple selbst notiert in seinem Beipackzettel für sicherheitsrelevante Fehlerbehebungen, dass man Berichte kenne, laut denen diese Probleme bereits "aktiv ausgenutzt" wurden. Der Konzern schreibt dies für alle drei genannten Lücken. Weitere Informationen, was das konkret bedeutet, wer angegriffen wurde und in welchem Umfang, macht Apple nicht. Es könnte sich also um eine gezielte Attacke genauso gehandelt haben wie um einen Massenhack. Ersteres galt Beobachtern zunächst als wahrscheinlicher, da solche ungepatchten Zero-Day-Lücken als sehr wertvoll gelten. Ebenfalls interessant: Apple nannte die Parteien nicht, die die Fehler gemeldet hatten. Es wird jeweils nur "ein anonymer Forscher" als Tippgeber kommuniziert.
tvOS und watchOS ebenfalls teilbetroffen
Von den drei Lücken steckte eine auch in watchOS und tvOS – die Race Condition im Kernel. WebKit ist auf Apple Watch und Apple TV aktuell nicht offiziell verfügbar, weshalb der Konzern hier auch keine Fixes lieferte. Ob der Kernel-Fehler und die WebKit-Lücken auch in macOS stecken, ist noch unbekannt – das nächste Update des Mac-Betriebssystems samt Releasenotes steht noch aus.
Welche Geräte das Update erhalten
iPadOS 14.4 beziehungsweise iOS 14.4 stehen für iPhone 6s und neuer, iPad Air 2 und neuer, iPad 5 und neuer, iPad mini 4 und neuer sowie den iPod touch der siebten Generation zum Download bereit. Dass Apple die vorhandenen Exploits nur in seinem Sicherheits-Beipackzettel nennt, ist unschön – dennoch verbreitete sich die Information seit Dienstagabend schnell. Unklar bleibt weiterhin, ob die Bugs auch in früheren iOS- und iPadOS-Versionen wie iOS 13 oder iOS 12 stecken. Hier legt Apple gelegentlich noch Fixes problematischer Fehler nach.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
