Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Project Zero: Apple schließt Zero-Day-Lücken in iOS und MacOS

Die Apple -Lücken sind bereits aktiv für Angriffe ausgenutzt worden und ähneln denen, die Google schon zuvor veröffentlicht hat.
/ Sebastian Grüner , Moritz Tremmel
1 Kommentare News folgen (öffnet im neuen Fenster)
Die Lücken in Apples Betriebssystem wurden aktiv ausgenutzt. (Bild: MLADEN ANTONOV/AFP via Getty Images)
Die Lücken in Apples Betriebssystem wurden aktiv ausgenutzt. Bild: MLADEN ANTONOV/AFP via Getty Images

Apple hat mehrere kritische Sicherheitslücken für iOS und MacOS, die bereits aktiv für Angriffe ausgenutzt worden sind, durch Updates geschlossen. Die Lücken wurden von Googles Project Zero(öffnet im neuen Fenster) sowie von der Threat Analysis Group (TAG) des Unternehmens entdeckt. Die für die Apple-Systeme bekanntgegebenen Lücken folgen nur kurz auf sehr ähnliche Lücken , die das Team bereits für den Chrome-Browser, Windows und Android veröffentlichte.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Berliner Landesnetz Standardnetzzugang Koordinator*in IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
IT-Business-Architect (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) AWO Kreisverband Frankfurt am Main, Frankfurt am Main (öffnet im neuen Fenster)
Ausbildung zum Fachinformatiker für Systemintegration (m/w/d) Südkurier GmbH Medienhaus, Konstanz (öffnet im neuen Fenster)
IT-Solutions Architect (w/m/d) Bausparkasse Mainz AG, Mainz (öffnet im neuen Fenster)
Software-Entwickler (d/m/w) Pradtke GmbH, Bochum (öffnet im neuen Fenster)
Zahntechniker für Verblendkeramik, CAD/CAM (m/w/d) Dr. Bernd Kilimann und Kollegen, Haigerloch (öffnet im neuen Fenster)
Project Manager IT Client Management (m/w/d) ZIEHL-ABEGG SE, Künzelsau (öffnet im neuen Fenster)

Bei den Lücken handelt es sich(öffnet im neuen Fenster) um einen Speicherfehler im Font-Parser, der zur Codeausführung genutzt werden kann (CVE-2020-27930), sowie um zwei Kernel-Lücken, mit deren Hilfe der Kernel-Speicher ausgelesen (CVE-2020-27950) und Code mit den Rechten des Kernels ausgeführt werden kann (CVE-2020-27932).

Behoben hat Apple die iOS-Lücke mit dem Update auf iOS 14.2 . Da sich iOS und MacOS viel Code teilen, finden sich die Lücken mit den gleichen CVE-Nummern auch in MacOS, wofür Apple ein außerplanmäßiges Update für MacOS Catalina 10.15.7(öffnet im neuen Fenster) bereitstellt.

Die zuvor für Chrome und Windows veröffentlichten Sicherheitslücken in der von Chrome verwendeten Freetype-Bibliothek ermöglichten das Ausführen von Schadcode innerhalb des Browsers. Um aus diesem auszubrechen, verwendeten die Eindringlinge eine weitere, inzwischen geschlossene Sicherheitslücke im Windows-Kernel. Diese hatte Google vor rund zwei Wochen an Microsoft gemeldet und vor wenigen Tagen veröffentlicht.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Auf Grund der Beschreibung ist davon auszugehen, dass sich die Lücken und darauf aufbauende Exploits ähneln. Das bestätigt auch der für die TAG tätige Shane Huntley auf Twitter(öffnet im neuen Fenster) . Demnach handelt es sich um gezielte Angriffe in ähnlichen Fällen. Diese stünden jedoch nicht in Zusammenhang mit der Präsidentschaftswahl in den USA.

Zur Startseite 1 Kommentare

Relevante Themen

Technik/HardwarePC & NotebooksSoftwareBetriebssystemeSecuritySicherheitslückeAppleMacOS