Categories: MobileMobile OS

iOS 11 schließt acht schwerwiegende Sicherheitslücken

Apple hat gestern wie angekündigt ab etwa 19 Uhr deutscher Zeit das Update auf iOS 11 für vorhandene iPhones und iPads freigegeben. Es bringt nicht nur zahlreiche Neuerungen, die Entwickler stopfen auch acht Sicherheitslöcher. Darunter ist eine Schwachstelle, die der deutsche Sicherheitsforscher Oliver Paukstadt entdeckt hat. Sie erlaubt Apples Sicherheitsmeldung zufolge Adress Bar Spoofing.

Betroffen sind alle unterstützten iOS-Geräte, also iPhone 5S und später, iPad Air und später sowie der iPod Touch der sechsten Generation. Der eigentliche Fehler steckt in der Browser-Engine WebKit. Unter iOS 10 und früher zeigt diese internationalisierte Domainnamen (IDN) „für den Benutzer lesbar“ an, wie Paukstadt in einem Blogeintrag ausführt. Dadurch ist es unter Umständen nicht möglich, lateinische Kleinbuchstaben von kleinen Großbuchstaben zu unterscheiden.

Als Folge ergeben sich bei Domains, die bestimmte Buchstaben wie „g“, „c“ oder „o“ verwenden, sogenannte optische Kollisionen: je nach Darstellung der Zeichen im Browser kann ein Nutzer nicht zwischen einer echten und einer gefälschten Domain unterscheiden, die einen der fraglichen Buchstaben enthält. Dieser sogenannte Homografische Angriff erleichtert vor allem Phishing.

iOS 11 zeigt solche IDN-Domains nun nur noch in der XN-Notation an, bei der mittels Punycode die nicht-ASCII-Zeichen aus dem Namen entfernt und durch einen abgeleiteten ASCII-String ersetzt werden. Die URL „http://cᴄ.oᴏ.sꜱ.uᴜ.vᴠ.wᴡ.zᴢ.mailgw.de/“ wandelt WebKit nun in „http://xn--c-g6l.xn--o-26l.xn--s-rx3e.xn--u-t7l.xn--v-17l.xn--w-37l.xn--z-57l.mailgw.de/“ um.

Darüber hinaus enthält iOS 11 einen Fix für einen Fehler in Exchange ActiveSync. Ein Angreifer war unter Umständen in der Lage, während der Einrichtung eines Exchange-Kontos das Gerät vollständig zu löschen. Ob dieser Fix für die gestern gemeldeten Probleme mit Exchange ActiveSync verantwortlich ist, ist bisher nicht bekannt.

Die Komponenten iBooks, Messages und Mail MessageUI sollen nun nicht mehr anfällig sein für Denial-of-Service-Angriffe. Außerdem soll die mobile Backupfunktion Datensicherungen nun zuverlässig verschlüsseln. Bei früheren iOS-Versionen wurden Sicherungen offenbar trotz der voreingestellten Verschlüsselung auch unverschlüsselt gespeichert.

iOS 11 verteilt Apple als Over-the-Air-Update. Nutzer können es aber auch über einen PC oder Mac herunterladen und mithilfe der iTunes-Software installieren. Da es sich um eine neue OS-Version handelt, sollte vor dem Upgrade ein Backup durchgeführt werden.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

5 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

21 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago