Project Zero: Apple schließt Zero-Day-Lücken in iOS und MacOS

Apple hat mehrere kritische Sicherheitslücken für iOS und MacOS, die bereits aktiv für Angriffe ausgenutzt worden sind, durch Updates geschlossen. Die Lücken wurden von Googles Project Zero sowie von der Threat Analysis Group (TAG) des Unternehmens entdeckt. Die für die Apple-Systeme bekanntgegebenen Lücken folgen nur kurz auf sehr ähnliche Lücken, die das Team bereits für den Chrome-Browser, Windows und Android veröffentlichte.

Stellenmarkt

1. DÖRKENGroup, Herdecke
2. Kassenärztliche Vereinigung Sachsen (KVS), Dresden

Bei den Lücken handelt es sich um einen Speicherfehler im Font-Parser, der zur Codeausführung genutzt werden kann (CVE-2020-27930), sowie um zwei Kernel-Lücken, mit deren Hilfe der Kernel-Speicher ausgelesen (CVE-2020-27950) und Code mit den Rechten des Kernels ausgeführt werden kann (CVE-2020-27932).

Behoben hat Apple die iOS-Lücke mit dem Update auf iOS 14.2. Da sich iOS und MacOS viel Code teilen, finden sich die Lücken mit den gleichen CVE-Nummern auch in MacOS, wofür Apple ein außerplanmäßiges Update für MacOS Catalina 10.15.7 bereitstellt.

Die zuvor für Chrome und Windows veröffentlichten Sicherheitslücken in der von Chrome verwendeten Freetype-Bibliothek ermöglichten das Ausführen von Schadcode innerhalb des Browsers. Um aus diesem auszubrechen, verwendeten die Eindringlinge eine weitere, inzwischen geschlossene Sicherheitslücke im Windows-Kernel. Diese hatte Google vor rund zwei Wochen an Microsoft gemeldet und vor wenigen Tagen veröffentlicht.

Auf Grund der Beschreibung ist davon auszugehen, dass sich die Lücken und darauf aufbauende Exploits ähneln. Das bestätigt auch der für die TAG tätige Shane Huntley auf Twitter. Demnach handelt es sich um gezielte Angriffe in ähnlichen Fällen. Diese stünden jedoch nicht in Zusammenhang mit der Präsidentschaftswahl in den USA.