Apple hat zusammen mit dem gestern veröffentlichten Update auf iOS 12.1 auch 37 Sicherheitslücken in seinem Mobilbetriebssystem geschlossen. Einige der Anfälligkeiten sind als kritisch einzustufen, da sie das Einschleusen und Ausführen von Schadcode ermöglichen, unter Umständen sogar mit Kernelrechten.
Die Komponenten Crash Reporter und IOMobileFrameBuffer sollen nun nicht mehr Anwendungen Zugriff auf Speicherinhalte ermöglichen. Das gilt auch für den Kernel, in dem zudem ein Speicherfehler steckte, der besagte Ausführung von Code mit Kernelrechten erlaubte.
Darüber hinaus wurde ein Bug beseitigt, der dazu führte, dass ein Angreifer mit Zugriff auf ein iOS-Gerät gelöschte Nachrichten wiederherstellen konnte. Dasselbe Problem trat zuletzt auch bei der Notizen-App auf. Safari wiederum löschte den Browserverlauf nicht vollständig und gab Daten der Autofill-Funktion preis. Zudem soll nun ein Fehler in Safari der Vergangenheit angehören, der Spoofing-Angriffe ermöglichte.
Die meisten Schwachstellen fanden Sicherheitsforscher in der Browser-Engine WebKit. Sie soll nach Installation des Updates auf iOS 12.1 nicht mehr Cross-Site-Scripting begünstigen und das Einschleusen und Ausführen von Schadcode erlauben. Zudem wurden sieben Use-after-free-Bugs in WebKit beseitigt, die sich ebenfalls für eine Remotecodeausführung eigneten.
Entdeckt wurden die von Apple offengelegten Anfälligkeiten ausschließlich von externen Sicherheitsforschern, darunter Mitarbeiter von Googles Project Zero, Qihoo 360, der Pakistan Telecommunications Authority, dem britischen National Cyber Security Centre, Alibaba sowie mehreren unabhängigen oder anonymen Sicherheitsforschern, die zum Teil mit Trend Micros Zero Day Initiative zusammengearbeitet haben.
Apple verteilt iOS 12.1 seit gestern Abend. Es steht für iPhone 5S und später, iPad Air und später sowie den iPod Touch der sechsten Generation zur Verfügung. Nutzer erhalten es Over-the-Air über die Updatefunktion des Betriebssystems oder mithilfe der Mediensoftware iTunes. Auch wenn Hackerangriffe auf iOS sehr selten sind, sollte das Update zeitnah installiert werden, um die Sicherheitslöcher zu stopfen.
Unklar ist allerdings, ob iOS 12.1 nicht noch weitere, von Apple nicht erwähnte Schwachstellen behebt. Laut Ian Beer, Mitarbeiter von Googles Project Zero, informiert das Unternehmen aus Cupertino nicht stets umfassend über ausgelieferte Patches. So soll iOS 12 Fixes für mehrere kritische Bugs enthalten, die Beer entdeckt und Apple gemeldet hat. In den Sicherheitshinweisen für iOS 12 seien sie jedoch nicht erwähnt.
Dieses Vorgehen nehme Nutzern die Möglichkeit, die Wichtigkeit von Sicherheitsupdates einzuschätzen, erklärte Beer. Das wiederum reduziere den Anreiz, Updates zeitnah zu installieren.
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…