Schwachstellen in iOS und macOS fixen (April 2021)

Auch bei Apple ist die Softwarewelt in Bezug auf Schwachstellen nicht so ganz edel. Auf Macs mit macOS kann Malware die im Betriebssystem vorhandenen Schutzmechanismen umgehen. Und auch in iOS klaffen Sicherheitslücken. Für die Betriebssysteme stehen aber Updates bereit.


Anzeige

Diese Woche hat Apple wichtige Sicherheitsupdates für seine gesamte Software- und Betriebssystempalette veröffentlicht. Die Updates schlossen auch zwei Zero-Day-Schwachstellen, die in der Praxis bereits ausgenutzt werden. Tenable schreibt dazu, dass Apple die Schwachstelle CVE-2021-30661 gepatcht hat, um eine Sicherheitslücke in der WebKit-Storage-Komponente, die in der Browser-Engine verwendet wird, zu schließen. Die Schwachstelle besteht sowohl im Desktop-Betriebssystem (macOS Big Sur) als auch in den mobilen Geräten wie iPhone (iOS), iPad (iPadOS), Apple Watch (watchOS) und dem Betriebssystem für Apple TV, tvOS. Laut Apple könnte ein Angreifer beliebige Code-Ausführung erlangen, wenn er bösartig gestaltete Web-Inhalte verarbeitet. Apple ist sich der Berichte bewusst, dass diese Schwachstelle aktiv in freier Wildbahn ausgenutzt wurde.

Zusätzlich zu CVE-2021-30661 hat Apple auch CVE-2021-30657 gepatcht, ein Logikproblem in den Systemeinstellungen. Die Schwachstelle würde es einem Angreifer ermöglichen, Apples Gatekeeper zu umgehen, der verhindern soll, dass nicht vertrauenswürdige Software unter macOS läuft. Als Beispiel hat der Sicherheitsforscher Patrick Wardle, der über die Schwachstelle geschrieben hat, einen Proof-of-Concept einer Lebenslauf-PDF-Datei erstellt, die, wenn sie geöffnet wird, die Taschenrechneranwendung des Systems startet, eine beliebte gutartige Taktik, die verwendet wird, um eine erfolgreiche Ausnutzung anzuzeigen.

Die Forscher von Jamf dokumentierten auch die „In-the-wild"-Ausnutzung von CVE-2021-30657 durch die Betreiber der macOS-Malware Shlayer. Die Gruppe ist bekannt dafür, ihre Malware über infizierte Suchergebnisse zu verbreiten, die zu gefälschten Downloads von Adobe Flash Player führen. Ein weiterer Artikel zur Schwachstelle in macOS lässt sich bei Techchrunch nachlesen. Ein deutschsprachiger Beitrag zu den Schwachstellen in iOS und macOS findet sich bei heise.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Schwachstellen in iOS und macOS fixen (April 2021)

  1. Gerold sagt:

    iOS und iPadOS werden auf Version 14.5.1 aktualisiert, sollte man umgehend einspielen.

    Releasenotes:
    "Dieses Update behebt ein Problem mit der App-Tracking-Transparenz, bei dem einige Benutzer, die zuvor in den Einstellungen die Option 'Apps zum Anfordern von Tracking zulassen' deaktiviert haben, nach der erneuten Aktivierung möglicherweise keine Aufforderungen von Apps erhalten. Dieses Update bietet außerdem wichtige Sicherheitsupdates und wird für alle Benutzer empfohlen."

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.