Project Zero: Apple schließt Zero-Day-Lücken in iOS und MacOS

Die Apple-Lücken sind bereits aktiv für Angriffe ausgenutzt worden und ähneln denen, die Google schon zuvor veröffentlicht hat.

Artikel veröffentlicht am , /
Die Lücken in Apples Betriebssystem wurden aktiv ausgenutzt.
Die Lücken in Apples Betriebssystem wurden aktiv ausgenutzt. (Bild: MLADEN ANTONOV/AFP via Getty Images)

Apple hat mehrere kritische Sicherheitslücken für iOS und MacOS, die bereits aktiv für Angriffe ausgenutzt worden sind, durch Updates geschlossen. Die Lücken wurden von Googles Project Zero sowie von der Threat Analysis Group (TAG) des Unternehmens entdeckt. Die für die Apple-Systeme bekanntgegebenen Lücken folgen nur kurz auf sehr ähnliche Lücken, die das Team bereits für den Chrome-Browser, Windows und Android veröffentlichte.

Stellenmarkt
  1. Senior Storage Engineer (m/w/d)
    operational services GmbH & Co. KG, Zuffenhausen
  2. Senior Software Entwickler:in (m/w/d)
    DKMS gemeinnützige, Tübingen
Detailsuche

Bei den Lücken handelt es sich um einen Speicherfehler im Font-Parser, der zur Codeausführung genutzt werden kann (CVE-2020-27930), sowie um zwei Kernel-Lücken, mit deren Hilfe der Kernel-Speicher ausgelesen (CVE-2020-27950) und Code mit den Rechten des Kernels ausgeführt werden kann (CVE-2020-27932).

Behoben hat Apple die iOS-Lücke mit dem Update auf iOS 14.2. Da sich iOS und MacOS viel Code teilen, finden sich die Lücken mit den gleichen CVE-Nummern auch in MacOS, wofür Apple ein außerplanmäßiges Update für MacOS Catalina 10.15.7 bereitstellt.

Die zuvor für Chrome und Windows veröffentlichten Sicherheitslücken in der von Chrome verwendeten Freetype-Bibliothek ermöglichten das Ausführen von Schadcode innerhalb des Browsers. Um aus diesem auszubrechen, verwendeten die Eindringlinge eine weitere, inzwischen geschlossene Sicherheitslücke im Windows-Kernel. Diese hatte Google vor rund zwei Wochen an Microsoft gemeldet und vor wenigen Tagen veröffentlicht.

Golem Akademie
  1. Terraform mit AWS
    14./15. September 2021, online
  2. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
Weitere IT-Trainings

Auf Grund der Beschreibung ist davon auszugehen, dass sich die Lücken und darauf aufbauende Exploits ähneln. Das bestätigt auch der für die TAG tätige Shane Huntley auf Twitter. Demnach handelt es sich um gezielte Angriffe in ähnlichen Fällen. Diese stünden jedoch nicht in Zusammenhang mit der Präsidentschaftswahl in den USA.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Netflix
Warum so viele Serien nur zwei Staffeln lang laufen

Die Superhelden-Serie Jupiter's Legacy war bei ihrem Start ein Erfolg bei Netflix. Jetzt wurde sie eingestellt. Wie entscheidet Netflix, ob eine Serie verlängert wird?
Von Peter Osteried

Netflix: Warum so viele Serien nur zwei Staffeln lang laufen
Artikel
  1. Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
    Neues Betriebssystem von Microsoft
    Wir probieren Windows 11 aus

    Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
    Ein Hands-on von Oliver Nickel

  2. Satya Nadella: Microsoft-CEO wird nun auch Chef des Vorstands
    Satya Nadella
    Microsoft-CEO wird nun auch Chef des Vorstands

    Der Microsoft-CEO hat den Konzern - und sich selbst - in sieben Jahren sehr profitabel gemacht. Nun bekommt er weitere Entscheidungsgewalt.

  3. 20 Prozent Rabatt auf Sicherheitskurs für Webentwickler
     
    20 Prozent Rabatt auf Sicherheitskurs für Webentwickler

    Sicherheitslücken erkennen und vermeiden - das lernen Entwickler anhand praktischer Übungen in einem Workshop der Golem Akademie. Schnellentschlossene sparen jetzt 20 Prozent.
    Sponsored Post von Golem Akademie

BlechBoX 06. Nov 2020

Klingt danach. Es wurde ja schon angekündigt, dass jemand was in der Hinterhand hat und...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Corsair 32GB DDR4-3600 Kit 182,90€ • PCGH Gaming-PC i7 RX 6800 XT 2.500€ • Rabatte auf Geschenkkarten bei Amazon • Saturn Super Sale (u. a. Samsung 65" QLED 1.294€) • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Apple iPads zu Bestpreisen [Werbung]
    •  /