Categories: MobileMobile OS

Apple schließt drei bereits aktiv ausgenutzte Zero-Day-Lücken in iOS

Apple hat seine Mobilbetriebssysteme iOS und iPadOS auf die Version 14.2 aktualisiert. Die Updates bringen nicht nur neue Funktionen und korrigieren bekannte Fehler, sie schließen auch drei Zero-Day-Lücken. Sie sind als besonders schwerwiegend einzustufen, da sie bereits aktiv von Hackern für Angriffe eingesetzt werden.

Entdeckt wurden die Anfälligkeiten von Googles Project Zero. Laut einem Tweet von Shane Huntley, Direktor von Googles Threat Analysis Group, stehen die drei Zero-Day-Lücken in einem nicht näher beschriebenen Zusammenhang mit Zero-Day-Lücken, die Google zuletzt in Chrome für Desktops, Chrome für Android und Windows gepatcht beziehungsweise öffentlich gemacht hatte.

Zu allen Schwachstellen sind keine technischen Details bekannt. Auch Informationen über Hintermänner und Ziele hält Google zurück. Huntley betonte lediglich erneut, dass es keine Bezug zu den derzeit noch nicht entschiedenen US-Wahlen gibt.

Die drei Zero-Day-Lücken stecken im FontParser sowie im Kernel. Sie erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne, entweder mithilfe einer speziell gestalteten Schrift oder einer schädlichen App. Unter Umständen ist die Codeausführung sogar mit Kernelrechten möglich.

Insgesamt hält das Update 24 Sicherheitsfixes bereit. Betroffen sind unter anderem die Komponenten Audio, CallKit, CoreAudio, Crash Reporter, ImageIO, Keyboard, Logging, Model I/O und WebKit. Auch hier warnt Apple vor einer Remotecodeausführung. Angreifer könnten aber auch einen Absturz einer Anwendung auslösen oder höhere Benutzerrechte erlangen.

Neben iOS und iPadOS ist auch watchOS betroffen, für das die aktualisierten Versionen 5.3.8, 6.2.9 und 7.1 zur Verfügung stehen. Außerdem wurden die Fixes für einige ältere iPhones bereitgestellt, auf denen noch iOS 12 zum Einsatz kommt. Deren Besitzer sollten nach der Version 12.4.9 Ausschau halten.

iOS 14.2 bringt darüber hinaus mehr als 100 neue Emojis, darunter auch genderneutrale Emojis. Es stehen aber auch neue Hintergrundbilder zur Verfügung. Außerdem schaltet Apple die Personenerkennung mithilfe des LiDAR-Sensors von iPhone 12 Pro und Pro Max frei.

Das Update optimiert aber auch das Laden der AirPods-Akkus. iPhones und iPads warnen Nutzer außerdem bei einem zu hohen Lautstärkepegel der Kopfhörer, der das Gehör schädigen könnte. Neu ist auch eine Option zur Übermittlung von anonymisierten Statistikdaten zu Begegnungsmitteilungen an teilnehmende Gesundheitsbehörden – diese Funktion könnte künftig Corona-Warn-Apps ersetzen.

Apple verteilt die Updates wie immer Over-the-Air. Die Aktualisierung lässt sich über die Einstellungen-App auch manuell anstoßen. Angesichts der Zero-Day-Lücken sollten sich Nutzer zeitnah für das Update entscheiden.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google meldet Zunahme der staatlichen Anfragen zur Löschung von Inhalten

Auslöser sind oftmals neue Gesetze. Diese Gesetze sind laut Google aber nicht auf repressive Regime…

3 Tagen ago

Bericht: Ransomware-Gruppe REvil durch koordinierte Aktion mehrerer Staaten zerschlagen

An der Aktion sind unter anderem die USA beteiligt. In Sicherheitskreisen ist die Aktion wohl…

3 Tagen ago

Threat Intelligence ist gefragt

Threat Intelligence ist derzeit das wichtigste Thema für Managed Service Provider, die ihre Cybersecurity-Angebote ausbauen…

3 Tagen ago

Malware auf Discord

Check Point Research (CPR) entdeckte eine multifunktionale Malware auf Discord, die in der Lage ist,…

3 Tagen ago

it-sa 2021: „Die richtigen Leute waren da“

Auch wenn die it-sa 2021 gegenüber der letzten Präsenzveranstaltung deutlich geschrumpft ist, zeigten sich die…

4 Tagen ago

Das sind die Hardware Top-Seller

Trotz des Chipmangels ist die Nachfrage nach Hardware ungebrochen, es gibt aber Befürchtungen, dass es…

4 Tagen ago