Bis vergangenen März waren iPhones, deren Betriebssystem sich auf relativ aktuellem Stand befand, gegenüber schwerwiegenden Angriffen über eine Safari-Lücke anfällig. Die Lücke sei laut Googles Threat Analysis Group (TAG) für zielgerichtete Attacken ausgenutzt worden.

Ein 0-Day-Exploit soll demnach von Hackern ausgenutzt worden sein, um iOS-Benutzer über manipulierte Links anzugreifen. Verantwortlich für die Angriffe sei die Gruppe hinter der SolarWinds-Kampagne. Links, die angeblich zu LinkedIn führen sollten, wurden Opfern bei den Angriffen zugesandt - anschließend wurde eine Payload heruntergeladen, die das iPhone für den Angreifer öffnete. Die Angriffe sollen keine komplette Übernahme der Geräte ermöglicht haben. Zudem wurde die iOS-Sandbox nicht beeinträchtigt.

CVE-2021-1879 erlaubte stattdessen das Auslesen zahlreicher wichtiger Authentifizierungs-Cookies. Google, LinkedIn selbst, Facebook, Yahoo sowie Microsoft waren betroffen. Die gesammelten Zugangsinfos wurden auf einen Server der Angreifer geladen. Auf dem iPhone musste für einen Angriff iOS 12.4 bis 13.7 laufen - im aktuellen iOS 14 sei die Lücke nicht enthalten.

Eine Site Isolation-Funktion, wie sie etwa in Chrome und Firefox enthalten ist, sollte Exploits wie diesen eigentlich verhindern. Laut Apple wurde CVE-2021-1879 iOS 12.5.2, iOS 14.4.2, iPadOS 14.4.2 und watchOS 7.3.3 behoben. Böswillige Web-Inhalte können entsprechend der Bug-Beschreibung zu "Universal Cross Site Scripting" führen. Der Fehler werde von Angreifern aktiv ausgenutzt.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE