Nur wenige Tage nachdem Google einige aktiv ausgenutzte Zero-Day-Fehler in Windows und seinem Chrome-Webbrowser entdeckt und beseitigt hat, hat auch Apple eigene Patches veröffentlicht, mit denen drei aktiv ausgenutzte Zero-Day-Schwachstellen beseitigt werden sollen. Die drei Fehler betreffen eine ganze Reihe von Apple-Produkten und wurden ebenfalls von Googles Project Zero entdeckt.
"Apple sind Berichte bekannt, wonach ein Exploit die Lücke aktiv ausnutzt", heißt es im Security Bulletin des Unternehmens, in dem alle drei Fehler beschrieben werden. Sie wurden, zusammen mit einer Reihe anderer Sicherheitslücken, in der neuen Version 14.2 von iOS und iPadOS gepatcht.
Zu den Geräten, die von den Zero Days betroffen sind, gehören die iPhones 6s und höher, der iPod touch ab der 7. Generation, iPad Air 2 und höher sowie iPad mini 4 und höher.
Der Cupertino-Technologieriese veröffentlichte auch Sicherheitsupdates für Sicherheitslücken in einer Reihe anderer Produkte, darunter die Apple Watch mit watchOS 5.3.9, 6.2.9 und 7.1, ein zusätzliches Update für Mac-Produkte mit macOS Catalina 10.15.7. sowie ein Fix für ältere Geräte mit iOS 12.4.9.
Ben Hawkes, der technische Leiter von Googles Project Zero, schrieb dazu auf Twitter:
In der Zwischenzeit beschrieb Shane Huntley, von Googles Threat Analysis Group, die Ausnutzung der Lücken als gezielt und im Zusammenhang mit den im letzten Monat aufgedeckten Zero-Day-Lücken.
Die erste Sicherheitslücke im FontParser, die als CVE-2020-27930 registriert wurde, ist ein RCE-Fehler (Remote Code Execution), der durch die Verarbeitung einer manipulierten Schriftart ausgelöst werden kann. Dies könnte einem Angreifer möglicherweise ermöglichen, einen Angriff aus der Ferne zu starten.
Der zweite Bug, mit der Kennung CVE-2020-27950, besteht im Kernel und wird als Kernel-Memory-Leak-Fehler beschrieben. Ein Angreifer könnte diesen mit einer manipulierten Anwendung ausnutzen und so den Kernelspeicher offenlegen. Laut VULDB muss die Ausnutzung lokal erfolgen und erfordert eine einzige Authentifizierung.
Der dritte Zero-Day-Fehler, der als CVE-2020-27932 getrackt wird, ist eine Schwachstelle bei der Eskalation von Kernel-Privilegien. "Eine bösartige Anwendung kann so möglicherweise beliebigen Code mit Kernel-Berechtigungen ausführen", warnte Apple.
Computer Emergency Response Teams (CERT) aus Hongkong und Singapur gaben Warnungen heraus, in denen Benutzer der betroffenen Apple-Geräte aufgefordert wurden die Updates sofort aufzuspielen. Wenn Sie keine automatischen Updates aktiviert haben, können Sie Ihr iPhone und iPad in den „Einstellungen“ unter dem Menüpunkt „Allgemein“ im Abschnitt „Softwareupdate“ manuell aktualisieren.