iOS 10.2 schließt schwere Sicherheitslücken
Das Update soll verhindern, dass Angreifer Schadcode über manipulierte Zertifikate auf iPhone, iPad, Apple Watch und Apple TV einschleusen können. Mehrere Schwachstellen rund um Lockscreen und Code-Sperre wurden ebenfalls behoben.
- Leo Becker
Mit dem jüngsten Update für iOS, tvOS und watchOS hat Apple auch Sicherheitslücken ausgeräumt, darunter gravierende: iOS 10.2, tvOS 10.1 und watchOS 3.1.1 beheben einen Speicherfehler bei der Handhabung von Zertifikaten, der einem Angreifer aus der Ferne das Ausführen von Schadcode ermöglichen kann, wie der Hersteller in bislang nur auf Englisch vorliegenden Support-Dokumenten mitteilt.
Schadcode durch Zertifikatinstallation
Das manipulierte Zertifikat lässt sich etwa über die Mail-App oder Safari ausliefern. Bei Aufruf einer angepassten URL leite Apples Browser sofort in die iOS-Einstellungen zur Installation des Zertifikats durch den Nutzer weiter, wie der Sicherheitsforscher Maksymilian Arciemowicz ausführt, der das Problem an Apple gemeldet hat – und das Risiko der Lücke entsprechend als “hoch” einstuft. Auch ein manipuliertes Eingabegerät ist bis hin zu iOS 10.2 in der Lage, Schadcode einzuschleusen, wie das Unternehmen anführt.
iOS 10.2 soll außerdem eine Reihe von Problemen ausräumen, die einem Angreifer mit physischem Zugriff auf iPhone und iPad Zugriff auf bestimmte Daten erlauben – etwa Fotos und Kontakte – sowie unter Umständen durch einen Fehler bei der Passwortfunktion sogar das Entsperren des Gerätes ermöglichen, wie Apple erklärt. Eine weitere Lücke könne einem lokalen Angreifer zudem erlauben, ein bereits entsperrtes Gerät offen zu halten.
Video legt iPhone lahm
Ein Fehler in den Grafiktreibern, der iPhones und iPads durch die Wiedergabe eines Videos lahmlegen kann, wurde ausgeräumt, teilte Apple außerdem mit. Die Bedienungshilfen sollen zudem keine Passwörter mehr vorlesen, um das Mithören durch Umstehende zu verhindern. Mail soll Nutzer mit iOS 10.2 darauf hinweisen, wenn eine E-Mail mit einem zurückgezogenen S/MIME-Zertifikat signiert wurde.
Nutzer sollten ihre Geräte umgehend auf den neuesten Software-Stand bringen, soweit möglich: Für ältere Hardware wie etwa iPhone 4s, iPad 2 und iPad 3 liefert Apple gewöhnlich keine Sicherheitsaktualisierungen mehr aus. Ob der Speicherfehler bei der Handhabung von Zertifikaten auch in iOS 9 vorliegt, bleibt allerdings unklar. (lbe)