iOS 8: Apple veröffentlicht Sicherheitsupdate

Apple hat Version 8.1.3 des Mobilbetriebssystems iOS veröffentlicht. Mit der Aktualisierung behebt der iPhone-Hersteller 33 Sicherheitslücken. Drei davon bildeten die Grundlage für Jailbreaks der Hackergruppe TaiG sowie des Teams Pangu.

Unter iOS 8.1.2 und früher nutzte die Gruppe TaiG einen Bug in AppleFileConduit, um unter anderem direkt auf geschützte Bereiche des Dateisystems zuzugreifen. Darüber hinaus haben TaiG und Team Pangu zwei Kernel-Lücken verwendet, die das Erraten von Speicheradressen im Kernel ermöglichen.

Aus einem Advisory geht zudem hervor, dass weitere Schwachstellen in den Komponenten CoreGraphics, FontParser, Foundation, Kernel, Springboard und WebKit stecken. Angreifer können speziell manipulierte PDF- und XML-Dateien einsetzen, um Schadcode einzuschleusen und auszuführen. Das Update verhindert aber auch, dass URLs, die von Safari an den iTunes Store weitergeleitet werden, die Beschränkungen der Sandbox des Browsers umgehen.

Unternehmenskunden profitieren von einem Fix für die Komponente MobileInstallation, die die Installation von selbst signierten Anwendungen erlaubt. Eine solche App konnte den Fehler im Installationsprozess ausnutzen, um die Kontrolle über den Container einer bereits installierten Anwendung zu übernehmen. Bereits im November hatte das Sicherheitsunternehmen FireEye auf die Lücke hingewiesen.

Das Update auf iOS 8.1.3 beseitigt zudem mehrere nicht sicherheitsrelevante Fehler. Einer davon führt dazu, dass einige Benutzer ihr Apple-ID-Passwort für die Apps “Nachrichten” und “Facetime” nicht eingeben konnten. Auf iPads sollen außerdem die Multitasking-Gesten nun zuverlässiger funktionieren. Software-Updates belegen zudem ab sofort weniger Speicherplatz.

Das Update steht seit gestern Abend für iPhone 4s und neuer, iPad 2 und neuer sowie iPod Touch der fünften Generation zur Verfügung. Es wird über die Softwareaktualisierung verteilt und ist etwa 136 MByte groß.

[mit Material von Stefan Beiersmann, ZDNet.de]