Schwere Lücken in iOS und macOS: Updates bald einspielen

Schwachstellen in Apples Betriebssystemen werden offenbar aktiv für Angriffe ausgenutzt. Auf Macs kann Malware leicht integrierte Schutzmechanismen umgehen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 239 Beiträge

(Bild: Nanain/Shutterstock.com)

Update
Von
  • Leo Becker

Apple hat in iOS, iPadOS, macOS, watchOS und tvOS eine lange Liste an Sicherheitslücken geschlossen, darunter Schwachstellen, die das Ausführen von Schadcode ermöglichen – auch mit Kernel-Rechten.

Einzelne Lücken werden offenbar aktiv für Angriffe ausgenutzt, entsprechend sollten Nutzer:innen die Updates sobald als möglich einspielen. iOS 14.5 bringt auch viele Neuerungen.

iOS 14.5, iPadOS 14.5, macOS 11.3, tvOS 14.5 und watchOS 7.4 stopfen unter anderem ein "Use after free"-Problem in WebKit Storage, das bei Aufruf manipulierter Web-Inhalte im Browser das Ausführen von beliebigem Code ermöglicht, wie Apple mitteilte. Die Updates sollen die Lücke durch eine verbesserte Speicherverwaltung ausräumen. Man wisse um "einen Bericht, dass das Problem möglicherweise bereits aktiv ausgenutzt wird", schreibt der Hersteller.

Für die älteren iPhones 6 und 5s mit iOS 12 liegt bislang keine Aktualisierung vor. Es ist allerdings unklar, ob diese Lücke im Safari-Unterbau dieser iOS-Version besteht.

Auf Macs ist es Malware mit einem simplen Trick möglich, zentrale von Apple in den letzten Jahren in das Betriebssystem integrierte Sicherheitsmechanismen zu umgehen, darunter Gatekeeper und Apples Notarisierung: Entsprechend vorbereitete unsignierte sowie unnotarisierte Apps werden dadurch einfach auf einen Doppelklick hin ausgeführt – statt erst blockiert zu werden und Warnmeldungen anzuzeigen.

Erst macOS 11.3 blockiert das ungehinderte Öffnen des Schädlings. In vorausgehenden Versionen werden manipulierte Apps ohne Nachfrage ausgeführt.

(Bild: Jamf)

Nach einer Analyse des MDM-Anbieters Jamf wurde die Methode bereits aktiv von der notorischen Adware Shlayer eingesetzt, um so bei der Installation keinen Verdacht aufkommen zu lassen. Wurde die Malware durch Nutzer oder Nutzerin installiert, könne sie dann problemlos Komponenten nachladen, die ebenfalls die integrierten Schutzmechanismen von macOS umgehen können und damit relativ freie Hand haben.

Das Problem basiert auf einem Logikfehler tief in Apples System, das Vorgaben und Rechte von Programmen festlegt, wie der Sicherheitsforscher Patrick Wardle erläutert: Es reiche aus, eine Skript-basierte App anzulegen und die Info.plist-Datei aus dem Bundle wegzulassen, dann erfolge keinerlei Überprüfung beim Ausführen mehr und das System zeige auch keine Warnmeldungen. Damit werden sowohl Gatekeeper und File Quarantine als auch Apples Notarisierungssystem, das spezifisch auf Malware prüft, ausgehebelt.

Wardle spekuliert, dass der Fehler mit macOS 10.15 Catalina eingeführt wurde und in älteren Versionen des Betriebssystems nicht besteht. Apple führt einen Fix für diese als Gatekeeper-Bypass beschriebene Schwachstelle (CVE-2021-30657) nur für macOS Big Sur 11.3 auf, nicht aber im Sicherheits-Update 2021-002 für macOS Catalina 10.15.7. Laut Apple wurden noch zwei weitere Fehler ausgeräumt, die ebenfalls eine Umgehung von Gatekeeper ermöglichten, einer davon (CVE-2021-1810) ist laut Beipackzettel auch in 10.15.7 beseitigt.

[Update 28.4.2021 12:15 Uhr] Apple hat in den Release-Notes des Sicherheits-Updates 2021-002 für macOS 10.15.7 inzwischen die CVE-2021-30657 ergänzt, entsprechend sind auch Nutzer von Catalina durch das Update wieder geschützt. In macOS Mojave und älteren Versionen scheint der Fehler nicht zu bestehen.

(lbe)