iOS 14.7 und iPadOS 14.7: Sicherheitsverbesserungen im Detail
Mit den gestrigen Updates auf iPadOS 14.7 und macOS 11.5 hat Apple den jüngsten Aktualisierungsreigen abgeschlossen. Da die Betriebssysteme aller Geräte aus Cupertino eine gemeinsame Grundlage haben, veröffentlicht das Unternehmen traditionell erst zu diesem Zeitpunkt die Übersicht der sicherheitsrelevanten Bugfixes. Auf iPhones und iPads wurden mit dem Update insgesamt 37 Schwachstellen beseitigt.
Drei Patches für FontParserGleich drei Sicherheitslücken hat Apple laut dem jetzt veröffentlichten
Support-Dokument im Fontparser geschlossen. Die Bugs mit den Kennungen CVE-2021-30760, CVE-2021-30759 und CVE-2021-30773 ermöglichten unter anderem die Ausführung von Schadcode durch entsprechend präparierte Schriften oder das Abgreifen von RAM-Inhalten mithilfe modifizierter TIF-Dateien. Zwei Sicherheitspatches (CVE-2021-30775 und CVE-2021-30776) betreffen CoreAudio, auch in diesem Framework ließ sich auf etlichen iPhone- und iPad-Modellen Malware ausführen oder eine App zum Absturz bringen. Zudem hat Apple eine Schwachstelle in CoreText behoben. Auch ImageIO und CoreGraphics wurden geflickt.
Apple behebt den WLAN-BugVier Sicherheitspatches gibt es für WebKit, in allen Fällen hätten die bislang in iOS und iPadOS enthaltenen Bugs es Angreifern ermöglicht, mithilfe präparierter Webseiten auf iPhones und iPads Schadcode zur Ausführung zu bringen. Künftig ist es zudem nicht mehr möglich, das WLAN-Modul der Smartphones und Tablets aus Cupertino durch SSIDs mit bestimmten kryptischen Zeichenketten außer Gefecht zu setzen. Apple hat den Fehler mit der Kennung CVE-2021-30800, welcher in jüngster Vergangenheit großes Aufsehen erregte, in iOS 14.7 und iPadOS 14.7 behoben.
BIslang kein Bugfix für iMessageEin Rechteproblem konnte bislang von Angreifern ausgenutzt werden, um an Daten aus der "Wo ist?"-App zu gelangen (CVE-2021-30804). Das ist in den neuen Versionen der Betriebssysteme für iPhone und iPad nicht mehr möglich. Zudem hat Apple Schwachstellen in zahlreichen weiteren Komponenten behoben, beispielsweise AVEVideoEncoder, ActionKit, CrashReporter, Model I/O und TCC. Zwei Lücken im Kernel von iOS und iPadOS wurden ebenfalls geschlossen. Den Bug in iMessage, welcher Berichten zufolge von einem Staatstrojaner namens "Pegasus" (siehe
) genutzt wird, erwähnt Apple in dem
Support-Dokument nicht. Es ist also bislang unklar, ob diese Lücke weiterhin existiert.