Categories: MobileMobile OS

Apple schließt zum Teil schwerwiegende Sicherheitslücken in iOS und iPadOS

Apple hat die Version 15.3 von iOS und iPadOS zum Download freigegeben. Das Update enthält allgemeine Fehlerbehebungen und Sicherheitsupdates. Insgesamt stopft Apple zehn Löcher in seinen Mobilbetriebssystemen, die unter anderem das Einschleusen und Ausführen von Schadcode ermöglichen könnten.

Betroffen sind alle unterstützten iPhones und iPads mit iOS 15.x. Die Schwachstellen stecken in den Komponenten ColorSync, Crash Reporter, iCloud, IOMobileFrameBuffer, Kernel, Model I/O und WebKit.

So erlaubt ColorSync beispielsweise unter Umständen, beliebigen Code auszuführen. Einer App, die diese Komponente nutzt, muss lediglich eine speziell gestaltete Datei untergeschoben werden. Entdeckt wurde der Bug von einem Mitarbeiter von Trend Micro.

Speziell gestaltete Eingaben verschaffen einer bösartigen App zudem möglicherweise Root-Rechte. Dafür ist laut Apple der Crash Reporter verantwortlich. Außerdem verhindert das Update, dass Apps unerlaubt auf iCloud-Dateien von Nutzern zugreifen.

Apple weist zudem darauf hin, dass die Sicherheitslücke in IOMobileFrameBuffer bereits aktiv für Angriffe ausgenutzt wird. Hacker erhalten bei einer erfolgreichen Attacke Kernel-Rechte, um beliebigen Code auszuführen. Dieser Bug wurde von insgesamt drei Forschern gemeldet, darunter ein Mitarbeiter von Mercedes-Benz Innovation Lab.

WebKit wiederum ist dafür verantwortlich, dass bestimmte E-Mail-Nachrichten in der Lage sind, beliebigen JavaScript-Code auszuführen. Aber auch speziell gestaltete Webseiten lassen sich unter iOS 15.2.x für das Einschleusen und Ausführen von Schadcode missbrauchen. Alle verfügbaren Details zu den Schwachstellen liefert Apples Sicherheitsbulletin.

Zu den “allgemeinen” Fehlerkorrekturen machte Apple in den Versionshinweisen indes keine Angaben. iOS 15.3 und iPadOS 15.3 verteilt Apple wie immer Over-the-Air. Vor einem Update sollten Nutzer eine Datensicherung durchführen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Remote Access Trojaner über gefälschte Webseite der BW-Landesregierung

PowerShell-RAT nimmt Personen ins Visier, die Informationen über die aktuelle Lage in der Ukraine suchen.

7 Stunden ago

Angespannte Risikolage verunsichert deutsche Unternehmen stark

Zahl der "Cyber-Experten" in Deutschland sinkt um 17 Prozentpunkte auf 3 Prozent. Ein Viertel des…

8 Stunden ago

Zyxel schließt schwer- wiegende Lücke in VPN- und Firewall-Produkten

Sie erlaubt eine Remotecodeausführung. Eine vorherige Authentifizierung ist nicht erforderlich. Zyxel veröffentlicht seinen Patch stillschweigend.

12 Stunden ago

Wissen, was in intelligenten Produktionsanlagen drin steckt

IT-Experten fordern eine Bill of Materials (SBOM) für Gerätesoftware.

13 Stunden ago

Cyber-Versicherungen: Nachfrage übersteigt Angebot

Wer sich an den Sicherheitsvorgaben der Cyber-Versicherer orientiert, kann als Unternehmen sein Cyber-Risiko noch abdecken,…

14 Stunden ago

Nicht-IT-Beschäftigte sind erhebliches Risiko für Unternehmen

Laut IT-Führungskräften sind nicht-technische Mitarbeiter schlecht auf einen Cyberangriff vorbereitet.

14 Stunden ago