iOS 12.1.4 schließt zwei bereits aktiv ausgenutzte Sicherheitslücken

8. Februar 2019 | Betriebssystem | 0 Kommentare »

Apples Update auf iOS 12.1.4, das gestern Abend erschienen ist, hat nicht nur FaceTime wieder in Ordnung gebracht. Apple hat hier auch zwei Sicherheitslücken geschlossen, die wohl schon aktiv ausgenutzt wurden. Diese Anfälligkeiten bestanden auch auf dem Mac, wo sie vom ebenfalls gestern erschienenden ergänzenden Update für macOS Mojave 10.14.3 beseitigt wurden.

Apple hat mit dem jüngst veröffentlichten Update auf iOS 12.1.4 bekanntlich in erster Linie dafür gesorgt, dass die FaceTime-Implementierung wieder sicher ist und die Gruppenanrufe wieder zurückkehren können. Hier war zuvor ein gravierender Fehler entdeckt worden. Doch darüber hinaus nutzte man das Update auch, um zwei Sicherheitslücken zu beseitigen. Beide Schwachstellen waren sogenannte Zero-Day-Lücken, sie wurden bereits aktiv ausgenutzt, bevor es einen Patch dafür gab. Das behaupten zumindest ihre Entdecker vom Project Zero bei Google, wo man sich speziell auf das Aufspüren genau solcher Schwachstellen spezialisiert hat.

Projektleiter Ben Hawkes twitterte gestern, dass Apple mit iOS 12.1.4 die Löcher gestopft hat.

Beide Lücken erlaubten es einem Angreifer, sich zusätzliche Rechte anzueignen und Code etwa mit Kernel-Rechten auszuführen, hierzu wurde ein Speicherfehler ausgenutzt.

Viele der von Apple in iOS und macOS beseitigten Bugs werden von Mitarbeitern des Google Project Zero entdeckt, das lässt sich regelmäßig in den ergänzenden Informationen zu Sicherheitsupdates bei Apple nachlesen. Das Project Zero meldet entdeckte Lücken an den jeweils betroffenen Hersteller, anschließend hat dieser 90 Tage Zeit, die Schwächen zu beheben. Passiert das nicht innerhalb dieser Frist, werden die gefundenen Lücken veröffentlicht. Es hat sich gezeigt, dass diese Praxis eine hervorragende Motivation für die betroffenen Firmen ist. Im vorliegenden Fall erwähnt Apple neben einem anonymen Sicherheitsforscher die Google-Mitarbeiter Clement Lecigne aus der  Google Threat Analysis Group, sowie Ian Beer und Samuel Groß vom Project Zero.


Dir gefällt der Artikel? Teile ihn mit deinen Kontakten:
Kommentare sind derzeit geschlossen, aber du kannst dennoch einen Trackback auf deiner Seite einrichten.

Kommentarfunktion ist deaktiviert