Apple hat vor wenigen Stunden etwas überraschend aber nicht völlig unerwartet iOS 14.8, iPadOS 14.8, watchOS 7.6.2 und macOS Big Sur 11.6 für alle Anwender weltweit bereitgestellt. Die Updates enthalten wichtige sicherheitsrelevante Verbesserungen. Dabei wurden auch besonders gefährliche Schwachstellen geschlossen.
Apple hat nun ein vollständiges Support-Dokument veröffentlicht, in dem die Neuerungen in iOS 14.8, iPadOS 14.8, watchOS 7.6.2 und macOS Big Sur 11.6 aufgeführt sind. Dem in Cupertino ansässigen Unternehmen zufolge sollen die Updates Sicherheitslücken schließen, die bereits in freier Wildbahn ausgenutzt wurden.
Sicherheit: iOS 14.8 schließt Schwachstellen
Allen voran beheben iOS 14.8 sowie iPadOS 14.8 Sicherheitslücken in CoreGraphics und WebKit, die aktiv ausgenutzt worden sein könnten. So wurde beispielsweise die CoreGraphics-Schwachstelle geschlossen, die von The Citizen Lab entdeckt und gemeldet wurde. Diese hat einen Zero-Click-Angriff auf das iPhone ermöglicht, der Apples Blastdoor-Schutz überwinden konnte. Es wird vermutet, dass die von The Citizen Lab gemeldete Schwachstelle genutzt wurde, um bahrainische Aktivisten anzugreifen, deren iPhones erfolgreich mit der Spionagesoftware Pegasus der NSO Group gehackt wurden. In Apples Sicherheits-Dokument heißt es:
CoreGraphics
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten PDF-Datei kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise aktiv ausgenutzt wurde.
- Beschreibung: Ein Integer-Überlauf wurde durch eine verbesserte Eingabevalidierung behoben.
- CVE-2021-30860: The Citizen Lab
WebKit
- Verfügbar für: iPhone 6s und neuer, iPad Pro (alle Modelle), iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad mini 4 und neuer sowie iPod touch (7. Generation)
- Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, wonach dieses Problem aktiv ausgenutzt werden könnte.
- Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
- CVE-2021-30858: Ein anonymer Forscher
Da es sich hierbei um gefährliche Schwachstellen handelt, werden die Updates dringend empfohlen. Sie können wie gewohnt über die Einstellungen-App im Bereich „Softwareupdate“ heruntergeladen werden. (Photo by Your_photo / Bigstockphoto)
