Webseiten könnten Schadcode einschmuggeln und zur Ausführung bringen – Apps können Rechte ausweiten

Mit iOS 10.2.1 bereinigt Apple eine Reihe von Fehlern und Sicherheitsproblemen in seinem Betriebssystem. Soweit nichts ungewöhnliches, veröffentlicht der iPhone-Hersteller doch regelmäßig solche Bugfix-Updates. Und doch lohnt in diesem Fall ein etwas näherer Blick, haben es die bereinigten Fehler doch in Hinblick auf die Systemsicherheit gehörig in sich.

Webkit

Die neue Betriebssystemversion für iPhones und iPads schließt unter anderem eine ganze Reihe von kritischen Lücke in der Rendering Engine Webkit, die die Basis des Browsers Safari bildet. Über diese konnten Angreifer mithilfe einer manipulierten Webseite Schadcode einschmuggeln und zur Ausführung bringen.

Rechteausweitung

Mit einer solchen Attacke wäre ein Angreifer zwar auf das Smartphone oder Tablet gelangt, seine Möglichkeiten wären aufgrund des Rechtesystems aber noch stark eingeschränkt. Allerdings befanden sich parallel dazu auch im iOS-Kernel mehrere kritische Lücken, die dazu genutzt werden konnten, praktisch uneingeschränkte Rechte zu erhalten. Zusätzlich wurde unter anderem auch ein Fehler in der Auto-Unlock-Funktion bereinigt, durch die das automatisch Entsperren auch funktionierte, wenn die Apple Watch gar nicht am Arm getragen wird.

Project Zero

Weitere Details finden sich im zugehörigen Support-Eintrag bei Apple. Dort zeigt sich übrigens auch, dass ein bedeutender Teil der kritischen Lücken in iOS von Googles Project Zero aufgespürt wurde. Dies hat es sich zum Ziel gesetzt, die Sicherheit viel genutzter Software zu überprüfen, und dazu ein Team von Sicherheitsexperten versammelt. In den letzten Monaten hat man in diesem Rahmen zahlreiche schwere Lücken aufgespürt – unter anderem in Android und Windows aber eben auch bei iOS oder OS X.

Update-Zeit

Angesichts der Schwere der Probleme empfiehlt sich ein dringendes Update auf die neue Softwareversion. Dieses kann wie gewohnt über die Systemaktualisierung in den iOS-Einstellungen initiiert werden. (apo, 24.1.2017)