Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 
iOS 12.1 schließt 37 zum Teil schwerwiegende Sicherheitslücken

01.11.2018

 zur Newsdatenbank home

Zusammen mit dem am 31. Oktober 2018 veröffentlichten Update auf iOS 12.1 hat Apple auch 37 Sicherheitslücken in seinem Mobilbetriebssystem geschlossen. Da einige Anfälligkeiten das Einschleusen und Ausführen von Schadcode ermöglichen, unter Umständen sogar mit Kernelrechten, sind sie als kritisch einzustufen.

Ein Fehler in der Auto-Unlock-Funktion kann dazu führen, dass schädliche Apps die AppleID des lokalen Nutzers auslesen. In früheren iOS-Versionen soll es zudem möglich sein, den Bluetooth-Datenverkehr abzufangen.

Die Komponenten IOMobileFrameBuffer und Crash Reporter sollen nun nicht mehr Anwendungen Zugriff auf Speicherinhalte ermöglichen. Dies gilt auch für den Kernel, in dem zudem ein Speicherfehler steckte, welcher besagte Ausführung von Code mit Kernelrechten erlaubte.

Darüber hinaus wurde ein Bug beseitigt, welcher es dem Angreifer erlaubte mit Zugriff auf ein iOS-Gerät gelöschte Nachrichten wiederherzustellen. Auch bei der Notizen-App trat zuletzt dasselbe Problem auf. Safari wiederum gab Daten der Autofill-Funktion preis und löschte den Browserverlauf nicht vollständig. Zudem soll nun ein Fehler in Safari, der Spoofing-Angriffe ermöglichte, der Vergangenheit angehören.

Sicherheitsforscher fanden die meisten Schwachstellen in der Browser-Engine WebKit. Nach Installation des Updates auf iOS 12.1 soll diese nicht mehr Cross-Site-Scripting begünstigen und das Einschleusen und Ausführen von Schadcode erlauben. Zudem wurden sieben Use-after-free-Bugs in WebKit beseitigt, die sich ebenfalls für eine Remotecodeausführung eigneten.

Die von Apple offengelegten Anfälligkeiten wurden ausschließlich von externen Sicherheitsforschern entdeckt, darunter Mitarbeiter von Googles Project Zero, Qihoo 360, der Pakistan Telecommunications Authority, dem britischen National Cyber Security Centre, Alibaba sowie mehreren unabhängigen oder anonymen Sicherheitsforschern, die zum Teil mit Trend Micros Zero Day Initiative zusammengearbeitet haben.

Apple verteilt iOS 12.1 seit dem Abend des 31. Oktobers 2018. Es steht für iPhone 5S und später für iPad Air sowie den iPod Touch der sechsten Generation zur Verfügung. Nutzer erhalten es Over-the-Air über die Updatefunktion des Betriebssystems oder mithilfe der Mediensoftware iTunes. Es sollte das Update zeitnah installiert werden, um die Sicherheitslöcher zu stopfen, auch wenn Hackerangriffe auf iOS sehr selten sind.

Ob iOS 12.1 nicht noch weitere, von Apple nicht erwähnte Schwachstellen behebt, ist allerdings unklar. Das Unternehmen aus Cupertino informiert nicht stets umfassend über ausgelieferte Patches, laut Ian Beer, Mitarbeiter von Googles Project Zero. So soll iOS 12 Fixes für mehrere kritische Bugs enthalten, die Beer entdeckt und Apple gemeldet hat. Sie seien in den Sicherheitshinweisen für iOS 12 jedoch nicht erwähnt.

(jf, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89