Apple hat heute Updates für iPhone, iPad, Mac und Apple Watch mit mehreren Sicherheitsverbesserungen veröffentlicht, darunter wurde ein Problem im ATT-Framework gelöst. Die gepatchten Schwachstellen betrafen allerdings auch bösartige Web-Inhalte, die zur Ausführung von beliebigem Code führen konnten. Apple zufolge sollen diese aktiv ausgenutzt worden sein.
Apple hat heute iOS 14.5.1, iPadOS 14.5.1, watchOS 7.4.1, macOS Big Sur 11.3.1 sowie iOS 12.5.3 und iPadOS 12.5.3 veröffentlicht, wobei es sich bei den Änderungen in erster Linie um Sicherheitskorrekturen handelt. Dabei wurde auch ein Bug im ATT-Framework (App-Tracking-Transparenz) behoben. Doch damit nicht genug.
iOS 14.5.1 & Co.: Apple behebt schwere Sicherheitslücken
Apple hat nun zwei Support-Dokumente aktualisiert und die entsprechenden WebKit-Fehler detailliert beschrieben. Die erste Schwachstelle ermöglicht, dass „die Verarbeitung von bösartig gestalteten Web-Inhalten zu beliebiger Codeausführung führen kann.“ Hier war Speicherbeschädigung im Spiel. Apple zufolge wurde das Problem mit „verbesserter Zustandsverwaltung“ behoben. Ein zweiter Fehler betraf das gleiche Potenzial für bösartige Web-Inhalte, die zur Ausführung von beliebigem Code führen können. Dem Unternehmen nach soll diese Sicherheitslücke auch ausgenutzt worden sein. In diesem Fall hat Apple das Problem mit einem Integer-Überlauf und einer „verbesserten Eingabevalidierung“ gelöst. Aus der Dokumentation geht folgendes hervor:
WebKit
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.
- Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
- CVE-2021-30665: yangkang (@dnpushme)&zerokeeper&bianliang von 360 ATA
WebKit
- Verfügbar für: iPhone 6s und höher, iPad Pro (alle Modelle), iPad Air 2 und höher, iPad 5. Generation und höher, iPad mini 4 und höher sowie iPod touch (7. Generation)
- Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.
- Beschreibung: Ein Integer-Überlauf wurde mit verbesserter Eingabevalidierung behoben.
- CVE-2021-30663: Ein anonymer Forscher
In der Zwischenzeit wurden für ältere iPhones und iPads ebenfalls zwei weitere Sicherheitslücken mit iOS 12.5.3 behoben. Apple hat den Pufferüberlauf/verbesserte Speicherbehandlung gepatcht und auch das „use after free issue“ aktualisiert.
WebKit
- Verfügbar für: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, und iPod touch (6. Generation)
- Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.
- Beschreibung: Ein Pufferüberlauf-Problem wurde durch verbesserte Speicherbehandlung behoben.
- CVE-2021-30666: yangkang (@dnpushme)&zerokeeper&bianliang von 360 ATA
WebKit-Speicher
- Verfügbar für: iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 und iPod touch (6. Generation)
- Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde.
- Beschreibung: Ein „Use after free“-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
- CVE-2021-30661: yangkang (@dnpushme)&zerokeeper&bianliang von 360 ATA
Die heutigen Updates beheben somit mehrere schwere Sicherheitslücken. Stelle also bitte sicher, dass du die neuesten Versionen installierst und damit geschützt bist. (Photo by dolgachov / Bigstockphoto)
