Categories: MobileMobile OS

iOS 12.1 schließt 37 zum Teil schwerwiegende Sicherheitslücken

Apple hat zusammen mit dem gestern veröffentlichten Update auf iOS 12.1 auch 37 Sicherheitslücken in seinem Mobilbetriebssystem geschlossen. Einige der Anfälligkeiten sind als kritisch einzustufen, da sie das Einschleusen und Ausführen von Schadcode ermöglichen, unter Umständen sogar mit Kernelrechten.

Einem Support-Artikel zufolge kann ein Fehler in der Auto-Unlock-Funktion dazu führen, dass schädliche Apps die AppleID des lokalen Nutzers auslesen. Zudem soll es in früheren iOS-Versionen möglich sein, den Bluetooth-Datenverkehr abzufangen.

Die Komponenten Crash Reporter und IOMobileFrameBuffer sollen nun nicht mehr Anwendungen Zugriff auf Speicherinhalte ermöglichen. Das gilt auch für den Kernel, in dem zudem ein Speicherfehler steckte, der besagte Ausführung von Code mit Kernelrechten erlaubte.

Darüber hinaus wurde ein Bug beseitigt, der dazu führte, dass ein Angreifer mit Zugriff auf ein iOS-Gerät gelöschte Nachrichten wiederherstellen konnte. Dasselbe Problem trat zuletzt auch bei der Notizen-App auf. Safari wiederum löschte den Browserverlauf nicht vollständig und gab Daten der Autofill-Funktion preis. Zudem soll nun ein Fehler in Safari der Vergangenheit angehören, der Spoofing-Angriffe ermöglichte.

Die meisten Schwachstellen fanden Sicherheitsforscher in der Browser-Engine WebKit. Sie soll nach Installation des Updates auf iOS 12.1 nicht mehr Cross-Site-Scripting begünstigen und das Einschleusen und Ausführen von Schadcode erlauben. Zudem wurden sieben Use-after-free-Bugs in WebKit beseitigt, die sich ebenfalls für eine Remotecodeausführung eigneten.

Entdeckt wurden die von Apple offengelegten Anfälligkeiten ausschließlich von externen Sicherheitsforschern, darunter Mitarbeiter von Googles Project Zero, Qihoo 360, der Pakistan Telecommunications Authority, dem britischen National Cyber Security Centre, Alibaba sowie mehreren unabhängigen oder anonymen Sicherheitsforschern, die zum Teil mit Trend Micros Zero Day Initiative zusammengearbeitet haben.

Apple verteilt iOS 12.1 seit gestern Abend. Es steht für iPhone 5S und später, iPad Air und später sowie den iPod Touch der sechsten Generation zur Verfügung. Nutzer erhalten es Over-the-Air über die Updatefunktion des Betriebssystems oder mithilfe der Mediensoftware iTunes. Auch wenn Hackerangriffe auf iOS sehr selten sind, sollte das Update zeitnah installiert werden, um die Sicherheitslöcher zu stopfen.

Unklar ist allerdings, ob iOS 12.1 nicht noch weitere, von Apple nicht erwähnte Schwachstellen behebt. Laut Ian Beer, Mitarbeiter von Googles Project Zero, informiert das Unternehmen aus Cupertino nicht stets umfassend über ausgelieferte Patches. So soll iOS 12 Fixes für mehrere kritische Bugs enthalten, die Beer entdeckt und Apple gemeldet hat. In den Sicherheitshinweisen für iOS 12 seien sie jedoch nicht erwähnt.

Dieses Vorgehen nehme Nutzern die Möglichkeit, die Wichtigkeit von Sicherheitsupdates einzuschätzen, erklärte Beer. Das wiederum reduziere den Anreiz, Updates zeitnah zu installieren.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Weihnachts-Rabatt: Saugroboter ab 200 Euro im Angebot

Gearbest bietet den 360 S7 aktuell für knapp 337 Euro an. Der Roborock S5 Max, der über eine verbesserte Wischfunktion…

1 Tag ago

HPE Discover More 2019 in München

Vor rund zwei Jahren verkündete HPE seine neue Strategie, alle Hardwareprodukte in einigen Jahren auch On Premises as-a-Service anzubieten. Auf…

1 Tag ago

5G-Ausbau: Telefónica setzt auf Huawei und Nokia

Die Zusammenarbeit mit Huawei und Nokia beim Aufbau eines 5G-Netzes ist allerdings abhängig von einer erfolgreichen Sicherheits-Zertifizierung der Technologie und…

1 Tag ago

Patchday: Microsoft schließt Zero-Day-Lücke in Windows

Der Patch Tuesday vom Dezember 2019 behebt 36 Schwachstellen, von denen sieben als "kritisch" eingestuft werden. KB4530684 hebt die Build-Nummer…

1 Tag ago

Chrome 79 integriert Überprüfung von Passwörtern

Außerdem bietet die neue Chrome-Version weitere Funktionen zur Verbesserung der Sicherheit. Dazu zählt etwa ein Echtzeit-Blacklisting bösartiger Websites.

1 Tag ago

Galaxy S7 und Galaxy S7 Edge: November-Patch wird ausgeliefert

Das Update steht allerdings nur für bestimmte Geräte zur Verfügung. Hierbei handelt es sich um die in der DACH-Region vertriebenen…

1 Tag ago