Categories: MobileMobile OS

Apple schließt Jailbreak-Lücke in iOS, iPadOS und macOS

Apple hat seine Mobilbetriebssysteme iOS und iPadOS auf die Version 13.5.1 aktualisiert. Das Update enthält keine neuen Funktionen oder gar Fehlerkorrekturen für das erst vor wenigen Tagen freigegebene iOS 13.5. Stattdessen schließt es eine als kritisch zu bewertende Sicherheitslücke. Sie war vor knapp zwei Wochen von einem Hacker angekündigt worden, um einen neun Jailbreak für iOS zu ermöglichen.

Der Unc0ver-Jailbreak erlaubt es, die von Apple eingesetzten Beschränkungen für iPhones und iPads aufzuheben. Unter anderem lassen sich alternative App-Stores wie Cydia und AltStore einsetzen. Ein Jailbreak hat aber auch einen Preis: Die Freischalt-Tools sind stets auf eine ungepatchte Zero-Day-Lücke angewiesen, die in der Regel das Einschleusen und Ausführen von Schadcode ermöglicht.

Im Fall der aktuellen Unc0ver-Version sollte es sich um eine Zero-Day-Lücke im Kernel von iOS handeln, die der Unv0ver-Entwicklet Pwn20wnd entdeckte. Tatsächlich erwähnt Apple nun in seinem Security Advisory auch den Namen Unc0ver, was als Bestätigung dafür angesehen werden muss, dass die Jailbreak-Lücke nun der Vergangenheit angehört.

„Eine Anwendung ist möglicherweise in der Lage, beliebigen Code mit Kernel-Rechten auszuführen“, heißt es in der Sicherheitswarnung. „Ein Speicherproblem wurde durch eine verbesserte Speicherverarbeitung behoben.“

Betroffen sind Apple-Smartphones ab iPhone 6S sowie Apple-Tablets ab iPad Air 2 beziehungsweise iPad Mini 4. Auch der iPod Touch der siebten Generation ist anfällig. Darüber hinaus stellt Apple den Fix auch für die Desktop-Betriebssysteme macOS Catalina 10.15.5 und High Sierra 10.13.6 zur Verfügung.

Inzwischen hat Apple außerdem das Security Advisory für iOS und iPadOS 13.5 freigegeben. Es beschreibt 43 Anfälligkeiten, die in Komponenten wie Accounts, AirDrop, Audio, Bluetooth, FaceTime, File System, ImageIO, Kernel, Mail, Messages, Notifications, Sandbox und WebKit stecken. Die Fixes sollen Denial-of-Service-Angriffe und den Diebstahl vertraulicher Informationen verhindern. Es soll aber auch möglich sein, Bluetooth-Datenverkehr abzufangen oder das Dateisystem aus der Ferne zu manipulieren. Auch eine Remotecodeausführung, unter Umständen sogar mit Kernel-Rechten, ist denkbar.

In den neuen Unc0ver-Jailbreak hatte dessen Entwickler große Hoffnungen gesteckt. Apple ist es jedoch erneut gelungen, innerhalb weniger Tage einen Patch zu entwickeln. Nutzen, die ihr iOS-Gerät längerfristig freischalten wollen, dürfen also das Update auf iOS 13.5.1 nicht einspielen – außer der Unc0ver-Entwickler kennt oder findet eine weitere zuvor unbekannte Schwachstelle.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

AWS kündigt macOS-Instanzen auf EC2 an

Sie basieren auf der Hardware des Mac Mini mit Core-i7-Prozessoren der achten Generation. Als Betriebssysteme…

12 Stunden ago

Zoom meldet Umsatzsteigerung von 367 Prozent – Anleger trotzdem unzufrieden

Auch der Gewinn klettert deutlich von 2,2 auf fast 200 Millionen Dollar. Selbst die Prognose…

14 Stunden ago

Hacker nehmen deutsche Nutzer mit Banking-Malware Gootkit ins Visier

Die Angreifer finden ihre Opfer mithilfe von kompromittierten Websites. Dort sollen falsche Forenbeiträge sie zum…

15 Stunden ago

Irreführende Werbung: Apple zahlt in Italien 10 Millionen Euro Strafe

Es geht um die von Apple angepriesene Wasserfestigkeit seiner iPhones. Das Unternehmen soll in der…

17 Stunden ago

Bericht: US-Justiz bereitet vier Kartellklagen gegen Google und Facebook vor

Sie sollen bis Ende Januar eingereicht werden. Es geht jeweils um einen möglichen Missbrauch einer…

19 Stunden ago

Forscher warnen vor Abhängigkeiten von DNS-Anbietern

Unter den führenden 100.000 Websites sind 84,8 Prozent von einem einzigen externen DNS-Anbieter abhängig. Selbst…

20 Stunden ago