Categories: MobileMobile OS

Apple schließt drei bereits aktiv ausgenutzte Zero-Day-Lücken in iOS

Apple hat seine Mobilbetriebssysteme iOS und iPadOS auf die Version 14.2 aktualisiert. Die Updates bringen nicht nur neue Funktionen und korrigieren bekannte Fehler, sie schließen auch drei Zero-Day-Lücken. Sie sind als besonders schwerwiegend einzustufen, da sie bereits aktiv von Hackern für Angriffe eingesetzt werden.

Entdeckt wurden die Anfälligkeiten von Googles Project Zero. Laut einem Tweet von Shane Huntley, Direktor von Googles Threat Analysis Group, stehen die drei Zero-Day-Lücken in einem nicht näher beschriebenen Zusammenhang mit Zero-Day-Lücken, die Google zuletzt in Chrome für Desktops, Chrome für Android und Windows gepatcht beziehungsweise öffentlich gemacht hatte.

Zu allen Schwachstellen sind keine technischen Details bekannt. Auch Informationen über Hintermänner und Ziele hält Google zurück. Huntley betonte lediglich erneut, dass es keine Bezug zu den derzeit noch nicht entschiedenen US-Wahlen gibt.

Die drei Zero-Day-Lücken stecken im FontParser sowie im Kernel. Sie erlauben das Einschleusen und Ausführen von Schadcode aus der Ferne, entweder mithilfe einer speziell gestalteten Schrift oder einer schädlichen App. Unter Umständen ist die Codeausführung sogar mit Kernelrechten möglich.

Insgesamt hält das Update 24 Sicherheitsfixes bereit. Betroffen sind unter anderem die Komponenten Audio, CallKit, CoreAudio, Crash Reporter, ImageIO, Keyboard, Logging, Model I/O und WebKit. Auch hier warnt Apple vor einer Remotecodeausführung. Angreifer könnten aber auch einen Absturz einer Anwendung auslösen oder höhere Benutzerrechte erlangen.

Neben iOS und iPadOS ist auch watchOS betroffen, für das die aktualisierten Versionen 5.3.8, 6.2.9 und 7.1 zur Verfügung stehen. Außerdem wurden die Fixes für einige ältere iPhones bereitgestellt, auf denen noch iOS 12 zum Einsatz kommt. Deren Besitzer sollten nach der Version 12.4.9 Ausschau halten.

iOS 14.2 bringt darüber hinaus mehr als 100 neue Emojis, darunter auch genderneutrale Emojis. Es stehen aber auch neue Hintergrundbilder zur Verfügung. Außerdem schaltet Apple die Personenerkennung mithilfe des LiDAR-Sensors von iPhone 12 Pro und Pro Max frei.

Das Update optimiert aber auch das Laden der AirPods-Akkus. iPhones und iPads warnen Nutzer außerdem bei einem zu hohen Lautstärkepegel der Kopfhörer, der das Gehör schädigen könnte. Neu ist auch eine Option zur Übermittlung von anonymisierten Statistikdaten zu Begegnungsmitteilungen an teilnehmende Gesundheitsbehörden – diese Funktion könnte künftig Corona-Warn-Apps ersetzen.

Apple verteilt die Updates wie immer Over-the-Air. Die Aktualisierung lässt sich über die Einstellungen-App auch manuell anstoßen. Angesichts der Zero-Day-Lücken sollten sich Nutzer zeitnah für das Update entscheiden.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kunst per KI

Eine neue KI-gestützte Generation von Bildgeneratoren wie Midjourney und Dall-E wühlt die Kunstszene auf. Kommerzielle…

17 Stunden ago

Neue Betas für Red Hat Enterprise Linux

Red Hat verbessert mit den Betas von Red Hat Enterprise Linux RHEL 8.7 und 9.1…

18 Stunden ago

Phishing-Angriffe mit gefälschten Stellenangeboten

Nordkoreanische Hacker nutzen Open-Source-Software und gefälschte Stellenangebote für Phishing-Angriffe auf LinkedIn, um Entwickler und IT-Mitarbeiter…

18 Stunden ago

Cyberbedrohungen: Vorstände zu optimistisch

Deutsche Führungskräfte schätzen Cyberschwachstellen am besten ein, müssen aber am Verhältnis zum CISO arbeiten.

19 Stunden ago

Gefahr durch Kontoübernahme (ATO)

Kontoübernahme (Account Takeover, ATO) wird für E-Commerce-Anbieter immer bedrohlicher. Die Hacker konzentrieren sich nicht mehr…

19 Stunden ago

Security Awareness und menschliche Risiken

Passend zum Security Awareness Month im Oktober beleuchtet Lance Spitzner, Director Security Awareness beim SANS…

21 Stunden ago