• IT-Karriere:
  • Services:

Project Zero: Apple schließt Zero-Day-Lücken in iOS und MacOS

Die Apple-Lücken sind bereits aktiv für Angriffe ausgenutzt worden und ähneln denen, die Google schon zuvor veröffentlicht hat.

Artikel veröffentlicht am , /
Die Lücken in Apples Betriebssystem wurden aktiv ausgenutzt.
Die Lücken in Apples Betriebssystem wurden aktiv ausgenutzt. (Bild: MLADEN ANTONOV/AFP via Getty Images)

Apple hat mehrere kritische Sicherheitslücken für iOS und MacOS, die bereits aktiv für Angriffe ausgenutzt worden sind, durch Updates geschlossen. Die Lücken wurden von Googles Project Zero sowie von der Threat Analysis Group (TAG) des Unternehmens entdeckt. Die für die Apple-Systeme bekanntgegebenen Lücken folgen nur kurz auf sehr ähnliche Lücken, die das Team bereits für den Chrome-Browser, Windows und Android veröffentlichte.

Stellenmarkt
  1. DÖRKENGroup, Herdecke
  2. Kassenärztliche Vereinigung Sachsen (KVS), Dresden

Bei den Lücken handelt es sich um einen Speicherfehler im Font-Parser, der zur Codeausführung genutzt werden kann (CVE-2020-27930), sowie um zwei Kernel-Lücken, mit deren Hilfe der Kernel-Speicher ausgelesen (CVE-2020-27950) und Code mit den Rechten des Kernels ausgeführt werden kann (CVE-2020-27932).

Behoben hat Apple die iOS-Lücke mit dem Update auf iOS 14.2. Da sich iOS und MacOS viel Code teilen, finden sich die Lücken mit den gleichen CVE-Nummern auch in MacOS, wofür Apple ein außerplanmäßiges Update für MacOS Catalina 10.15.7 bereitstellt.

Die zuvor für Chrome und Windows veröffentlichten Sicherheitslücken in der von Chrome verwendeten Freetype-Bibliothek ermöglichten das Ausführen von Schadcode innerhalb des Browsers. Um aus diesem auszubrechen, verwendeten die Eindringlinge eine weitere, inzwischen geschlossene Sicherheitslücke im Windows-Kernel. Diese hatte Google vor rund zwei Wochen an Microsoft gemeldet und vor wenigen Tagen veröffentlicht.

Auf Grund der Beschreibung ist davon auszugehen, dass sich die Lücken und darauf aufbauende Exploits ähneln. Das bestätigt auch der für die TAG tätige Shane Huntley auf Twitter. Demnach handelt es sich um gezielte Angriffe in ähnlichen Fällen. Diese stünden jedoch nicht in Zusammenhang mit der Präsidentschaftswahl in den USA.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

BlechBoX 06. Nov 2020 / Themenstart

Klingt danach. Es wurde ja schon angekündigt, dass jemand was in der Hinterhand hat und...

Kommentieren


Folgen Sie uns
       


E-Book-Reader Pocketbook Color im Test

Das Pocketbook Color ist der erste E-Book-Reader mit einem Farbbildschirm. Wir haben uns das Gerät angeschaut.

E-Book-Reader Pocketbook Color im Test Video aufrufen
    •  /