Project Zero: Apple schließt Zero-Day-Lücken in iOS und MacOS

Die Apple-Lücken sind bereits aktiv für Angriffe ausgenutzt worden und ähneln denen, die Google schon zuvor veröffentlicht hat.

Artikel veröffentlicht am , /
Die Lücken in Apples Betriebssystem wurden aktiv ausgenutzt.
Die Lücken in Apples Betriebssystem wurden aktiv ausgenutzt. (Bild: MLADEN ANTONOV/AFP via Getty Images)

Apple hat mehrere kritische Sicherheitslücken für iOS und MacOS, die bereits aktiv für Angriffe ausgenutzt worden sind, durch Updates geschlossen. Die Lücken wurden von Googles Project Zero sowie von der Threat Analysis Group (TAG) des Unternehmens entdeckt. Die für die Apple-Systeme bekanntgegebenen Lücken folgen nur kurz auf sehr ähnliche Lücken, die das Team bereits für den Chrome-Browser, Windows und Android veröffentlichte.

Stellenmarkt
  1. Mitarbeiter (m/w/d) IT Support / Service Desk
    Camfil APC GmbH, Tuttlingen, Reinfeld
  2. Entwicklungsingenieur Systemtest (m/w/d)
    Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen, Schwieberdingen bei Stuttgart
Detailsuche

Bei den Lücken handelt es sich um einen Speicherfehler im Font-Parser, der zur Codeausführung genutzt werden kann (CVE-2020-27930), sowie um zwei Kernel-Lücken, mit deren Hilfe der Kernel-Speicher ausgelesen (CVE-2020-27950) und Code mit den Rechten des Kernels ausgeführt werden kann (CVE-2020-27932).

Behoben hat Apple die iOS-Lücke mit dem Update auf iOS 14.2. Da sich iOS und MacOS viel Code teilen, finden sich die Lücken mit den gleichen CVE-Nummern auch in MacOS, wofür Apple ein außerplanmäßiges Update für MacOS Catalina 10.15.7 bereitstellt.

Die zuvor für Chrome und Windows veröffentlichten Sicherheitslücken in der von Chrome verwendeten Freetype-Bibliothek ermöglichten das Ausführen von Schadcode innerhalb des Browsers. Um aus diesem auszubrechen, verwendeten die Eindringlinge eine weitere, inzwischen geschlossene Sicherheitslücke im Windows-Kernel. Diese hatte Google vor rund zwei Wochen an Microsoft gemeldet und vor wenigen Tagen veröffentlicht.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, Virtuell
Weitere IT-Trainings

Auf Grund der Beschreibung ist davon auszugehen, dass sich die Lücken und darauf aufbauende Exploits ähneln. Das bestätigt auch der für die TAG tätige Shane Huntley auf Twitter. Demnach handelt es sich um gezielte Angriffe in ähnlichen Fällen. Diese stünden jedoch nicht in Zusammenhang mit der Präsidentschaftswahl in den USA.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


BlechBoX 06. Nov 2020

Klingt danach. Es wurde ja schon angekündigt, dass jemand was in der Hinterhand hat und...



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  2. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

  3. Diskriminierung am Arbeitsplatz: Sexismusvorwurf gegen Microsoft-Management
    Diskriminierung am Arbeitsplatz
    Sexismusvorwurf gegen Microsoft-Management

    Ein neuer Bericht wirft CEO Satya Nadella vor, nicht ausreichend gegen Fehlverhalten in seinem Unternehmen vorzugehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /