Apple schließt drei bereits aktiv ausgenutzte Zero-Day-Lücken in iOS

Apple hat seine Mobilbetriebssysteme iOS und iPadOS auf die Version 14.2 aktualisiert. Die Updates bringen nicht nur neue Funktionen und korrigieren bekannte Fehler, sie schließen auch drei Zero-Day-Lücken. Sie sind als besonders schwerwiegend einzustufen, da sie bereits aktiv von Hackern für Angriffe eingesetzt werden.

Entdeckt wurden die Anfälligkeiten von Googles Project Zero. Laut einem Tweet von Shane Huntley, Direktor von Googles Threat Analysis Group, stehen die drei Zero-Day-Lücken in einem nicht näher beschriebenen Zusammenhang mit Zero-Day-Lücken, die Google zuletzt in Chrome für Desktops, Chrome für Android und Windows gepatcht beziehungsweise öffentlich gemacht hatte.

Zu allen Schwachstellen sind keine technischen Details bekannt. Auch Informationen über Hintermänner und Ziele hält Google zurück. Huntley betonte lediglich erneut, dass es keine Bezug zu den derzeit noch nicht entschiedenen US-Wahlen gibt.

Die drei Zero-Day-Lücken stecken im FontParser sowie im Kernel. Sie erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne, entweder mithilfe einer speziell gestalteten Schrift oder einer schädlichen App. Unter Umständen ist die Codeausführung sogar mit Kernelrechten möglich.

Insgesamt hält das Update 24 Sicherheitsfixes bereit. Betroffen sind unter anderem die Komponenten Audio, CallKit, CoreAudio, Crash Reporter, ImageIO, Keyboard, Logging, Model I/O und WebKit. Auch hier warnt Apple vor einer Remotecodeausführung. Angreifer könnten aber auch einen Absturz einer Anwendung auslösen oder höhere Benutzerrechte erlangen.

Neben iOS und iPadOS ist auch watchOS betroffen, für das die aktualisierten Versionen 5.3.8, 6.2.9 und 7.1 zur Verfügung stehen. Außerdem wurden die Fixes für einige ältere iPhones bereitgestellt, auf denen noch iOS 12 zum Einsatz kommt. Deren Besitzer sollten nach der Version 12.4.9 Ausschau halten.

iOS 14.2 bringt darüber hinaus mehr als 100 neue Emojis, darunter auch genderneutrale Emojis. Es stehen aber auch neue Hintergrundbilder zur Verfügung. Außerdem schaltet Apple die Personenerkennung mithilfe des LiDAR-Sensors von iPhone 12 Pro und Pro Max frei.

Das Update optimiert aber auch das Laden der AirPods-Akkus. iPhones und iPads warnen Nutzer außerdem bei einem zu hohen Lautstärkepegel der Kopfhörer, der das Gehör schädigen könnte. Neu ist auch eine Option zur Übermittlung von anonymisierten Statistikdaten zu Begegnungsmitteilungen an teilnehmende Gesundheitsbehörden – diese Funktion könnte künftig Corona-Warn-Apps ersetzen.

Apple verteilt die Updates wie immer Over-the-Air. Die Aktualisierung lässt sich über die Einstellungen-App auch manuell anstoßen. Angesichts der Zero-Day-Lücken sollten sich Nutzer zeitnah für das Update entscheiden.