computerwoche.de

Mobile & Apps

Schnell updaten

Apple stopft 0-Day-Lücken in iOS 14.4

27.01.2021
Von 
Frank Ziemann war 20 Jahre lang selbstständiger IT-Sicherheitsberater und Übersetzer englischsprachiger Fachartikel. Er ist Gründer des Hoax-Info-Service (http://hoax-info.de) an der TU Berlin, den er seit 1997 betreibt.
Alle Posts des Autors Email:
Apple hat iOS und iPadOS 14.4 freigegeben. Darin sind mehrere gravierende Sicherheitslücken beseitigt, die bereits für Angriffe ausgenutzt werden.

Apples Mobilbetriebssysteme iOS und iPadOS sind in der neuen Version 14.4 erschienen. Während iOS 14.4 für iPhones ab 6s sowie iPod Touch (7. Generation) erhältlich ist, gibt es das weitgehend identische iPadOS 14.4 für iPad Air 2, iPad Mini 4 und neuere Geräte. Die neue Version kann über die integrierte Update-Funktion heruntergeladen und installiert werden.

Angriffe auf iOS-Geräte
Angriffe auf iOS-Geräte
Foto: Apple

Die wichtigste Änderung gegenüber der vorherigen Version 14.3 ist die Beseitigung dreier Sicherheitslücken, die bereits für Angriffe ausgenutzt werden. Die Webkit-Schwachstellen CVE-2021-1870 und CVE-2021-1871 können ausgenutzt werden, um beliebigen Code auszuführen. Die Lücke CVE-2021-1782 können Angreifer nutzen, um sich respektive einer schädlichen App höhere Berechtigungen zu verschaffen. In Kombination mit den Webkit-Lücken kann eine solche App die Kontrolle über das System übernehmen. Alle drei Schwachstellen wurden durch einen anonymen Sicherheitsforscher an Apple gemeldet.

Die weiteren Neuerungen sind weniger umfangreich als bei iOS 14.3. So können Nutzer per Bluetooth angeschlossener Lautsprecher nun lauter aufdrehen, weil sie die dem Gehörschutz dienende Begrenzung für Kopf-/Ohrhörer in den Bluetooth-Einstellungen abschalten dürfen. Auch die Erfassung recht kleiner QR-Codes mit der Kamera soll nun besser klappen, Artefakte im HDR-Modus sollen beseitigt sein.

Nach einer Reparatur eines iPhone 12 soll nun auch ein nicht originales Kameramodul erkannt werden. Für ausgetauschte Akkus und Displays gilt das schon länger. Das System warnt den Benutzer nur, schränkt die Funktionalität jedoch nicht ein.

Weitere Apple-Updates

Neben iOS und iPadOS hat Apple noch weitere Produkte aktualisiert, um Schwachstellen zu beseitigen. Die oben genannte Sicherheitslücke CVE-2021-1782 hat Apple auch in tvOS 14.4 und watchOS 7.3 beseitigt. Die Windows-10-App iCloud für Windows ist in der neuen Version 12.0 im Microsoft Store erhältlich. Darin hat Apple vier Sicherheitslücken geschlossen, von denen zwei ausgenutzt werden könnten, um mit einer präparierten Bilddatei beliebigen Code einzuschleusen und auszuführen. Entsprechende Angriffe sind bislang nicht bekannt. (Macwelt)