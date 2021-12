Apples jüngste Betriebssystem-Updates sollten umgehend installiert werden: iOS und iPadOS 15.2, macOS 12.1, watchOS 8.3 und tvOS 15.2 stopfen gravierende Sicherheitslücken, die das Einschleusen und Ausführen von beliebigem Schadcode mit Kernel-Rechten ermöglichen, wie Apple mitteilte. Eine Warnung des Herstellers, dass die Lücken möglicherweise bereits aktiv für Angriffe ausgenutzt werden, liegt bislang nicht vor.

Remote-Jailbreak von iOS 15

Chinesische Sicherheitsforscher, darunter das für seine iPhone-Jailbreaks bekannte Pangu Team, hatten im Oktober auf einem Hacker-Wettbewerb demonstriert, was sich mit den Lücken anstellen lässt: Auf dem TianfuCup wurde ein spektakulärer Remote-Jailbreak von iOS 15 auf dem iPhone 13 durchgeführt. Sie setzten dabei auf Schwachstellen in Apples Browser-Engine WebKit und dem Kernel des Betriebssystems. Der Aufruf einer manipulierten Webseite führte so zur Komplettübernahme des Gerätes. Die Sicherheitsforscher meldeten die Schwachstellen an Apple.

Die ebenfalls auf dem TianfuCup vertretene Firma "Kunlun Lab" war ebenfalls auf eine Reihe von Sicherheitslücken in WebKit und Kernel gestoßen, die an Apple gemeldet wurden. Man habe die Kernel-Schwachstelle ebenfalls für einen Remote-Jailbreak nutzen wollen, habe die Umsetzung des Exploits aber nicht im vorgegebenen Zeitfenster geschafft. Diese betrifft neben iOS auch macOS, so einer der Sicherheitsforscher.

Für iOS 14 und macOS 11 fehlen Patches

Apple führt für iOS und iPadOS 15.2, macOS 12.1, watchOS 8.3 und tvOS 15.2 über 40 geschlossene Sicherheitslücken auf, darunter auch die von Pangu und Kunlun Lab gemeldeten Schwachstellen. Für iOS 14 und iOS 12 liegen bislang keine Updates vor, ob die Bugs sich dort ebenfalls für Angriffe ausnutzen lassen und noch behoben werden sollen, bleibt unklar.

Für macOS 11 Big Sur und macOS 10.15 Catalina hat Apple Sicherheits-Updates veröffentlicht, die unter anderem die Kernel-Schwachstellen beseitigen. Die WebKit-Lücken stehen in den älteren macOS-Versionen aber offensichtlich noch offen, weil ein Update für Safari 15 fehlt. Bis Safari 15.2 nachgereicht wird, können Nutzer auf andere Browser ausweichen.

(lbe)