Das Schließen von Sicherheitslücken gehört zum grundlegenden Handwerk eines jeden Softwareherstellers – zumindest wenn er halbwegs verantwortlich handeln will. Insofern verwundert es auch nicht, dass ein neues Update für diverse Betriebssysteme von Apple auch sicherheitsrelevante Fehlerbereinigungen beinhaltet. Was allerdings durchaus bemerkenswert ist: Bereits zum wiederholten Male muss Apple heuer hochgefährliche Lücken ausräumen, die offenbar bereits für Angriffe genutzt wurden.

Update

Mit iOS 14.5.1 bereinigt Apple zwei sogenannte "Zero Day"-Lücken in der eigenen Rendering Engine Webkit. Über diese hätte von außen Schadcode auf ein iPhone eingeschmuggelt und zur Ausführung gebracht werden können. Solch ein Angriff erfolgt üblicherweise mit speziell präparierten Webseiten, auf die das Opfer gelockt wird. Neben dem iPhone sind aber noch zahlreiche andere Geräte von Apple betroffen. Entsprechend gibt es auch passende Updates für iPad OS, macOS (Big Sur 11.3.1) sowie watchOS (7.4.1)

Gemeldet wurden die beiden Bugs von der chinesischen Sicherheitsfirma Qihoo 360. Details dazu, von wem diese Lücken zuvor ausgenutzt wurden und wer das Ziel war, gibt es bislang nicht. Insofern lässt sich auch die Verbreitung dieser Attacken nicht abschätzen. Üblicherweise erfolgen Angriffe mit "Zero Days" aber fokussiert auf einzelne Personen, alleine schon um zu verhindern, dass die für Angreifer sehr wertvollen Lücken entdeckt und geschlossen werden.

Statistik

Was allerdings auffällt: Seit Anfang des Jahres wurden damit bereits sieben "Zero Days" in iOS gemeldet. Wie ein Dokument von Googles Project Zero zeigt, machen auf iPhones ausnutzbare Lücken alleine fast ein Drittel aller im laufenden Jahr entdeckten zuvor unbekannten, aber aktiv ausgenutzten Fehler aus. Das zeigt auch, welch ein populäres Ziel Apple-Smartphones bei Angreifern sind.

Tracking

Parallel dazu bereinigt iOS 14.5.1 einen unerfreulichen Fehler in der eben erst eingeführten "App Tracking Transparency". Die Tracking-Warnung wurde nämlich manchen Nutzern schlicht nicht angezeigt. Konkret geht es dabei um User, die individualisierte Werbung zuvor generell in den Systemeinstellungen deaktiviert und später wieder erlaubt haben.

Updaten, jetzt

Angesichts der Schwere der aktuellen Sicherheitslücken empfiehlt es sich, die neuen Updates umgehend einzuspielen. (apo, 4.5.2021)