Gefährlicher Zero-Day in macOS und iOS

Umgehend Updates einspielen – Angriffe laufen

28.09.2021

Apple warnt vor Sicherheitslücken in macOS Catalina und älteren iOS-Versionen, die bereits für Angriffe missbraucht werden, um Geräte zu übernehmen. Das Unternehmen hat dringende Sicherheitsupdates für veröffentlicht, die schnellstmöglich installiert werden sollten. Sicherheitsforscher von Google hatten zuvor eine Zero-Day-Lücke (CVE-2021-30869) im XNU-Kernel entdeckt, dem Herzstück beider Betriebssysteme.

Eine bösartige App kann die Schwachstelle missbrauchen, um beliebigen Schadcode mit Kernel-Rechten auszuführen – mit anderen Worten: um das System komplett zu kompromittieren. Die Sicherheitslücke ist besonders kritisch, weil es sich um einen Zero-Day handelt. Das heißt, zu dem Zeitpunkt als die Forscher von Google sie entdeckten, wurde sie bereits für Angriffe missbraucht.

Folgende Geräte sind verwundbar: iPhone 5s, 6, 6 Plus sowie iPad Air, Mini 2, Mini 3 und der iPod Touch. Die Lücke wird dort mit einem Update auf iOS 12.5.5 behoben; es fixt auch einen berühmt-berüchtigten Bug, der von der Spyware Pegasus ausgenutzt wird

Unklar bleibt, ob von dem XNU-Bug auch aktuelle macOS- und iOS-Versionen betroffen sind. Apple macht in den vorhandenen Sicherheits-Releasenotes für iOS 15 und iPadOS 15 sowie iOS 14.8 und macOS Big Sur 11.6 dazu bislang keine Angaben.

Quelle: News auf www.heise.de