Apple veröffentlicht Notfall-Patch für iOS und iPadOS
iPhones und iPads erhalten die OS-Version 14.4.2. WebKit ist offenbar anfällig für Cross-Site-Scripting. Apple zufolge handelt es sich um eine Zero-Day-Lücke, die Hacker bereits ins Visier genommen haben.
Apple verteilt seit Ende vergangener Woche ein außerplanmäßiges Update für iOS und iPadOS. Die Version 14.4.2 soll eine schwerwiegende Zero-Day-Lücke beseitigen, die nach Angaben des Unternehmens bereits aktiv von Hackern ausgenutzt wird. Entdeckt wurde die Schwachstelle von Mitarbeitern von Googles Threat Analysis Group.
Betroffen sind möglicherweise alle noch im Gebrauch befindlichen iPhones und iPads unabhängig von der OS-Version. Denn Apple stellt den Notfall-Patch nicht nur für iPhone 6s und neuer, iPad Pro, iPad Air 2 und neuer, iPad 5. Generation und neuer, iPad Mini 4 und neuer sowie den iPod Touch der siebten Generation zur Verfügung, sondern auch für iOS-Geräte, auf denen noch iOS 12 läuft. Sie erhalten das Update auf iOS 12.5.2. Von daher sollten auch Nutzer von iPhone 5S, 6, 6 Plus, iPad Air, iPads Mini 2 und 3 sowie iPod Touch der sechsten Generation nach einer Aktualisierung Ausschau halten.
Der Schwachstelle selbst steckt in der Browserengine WebKit. Apple schreibt in seiner Sicherheitswarnung, dass die Verarbeitung speziell gestalteten Web-Inhalten unter Umständen zu einem universellen Cross-Site-Scripting führen kann. Behoben wurde das Problem über Verbesserungen beim Umgang mit der Lebensdauer von Objekten.
Auch wenn Apple die Sicherheitsanfälligkeiten in seinen Produkten nicht öffentlich bewertet, ist davon auszugehen, dass von der Zero-Day-Lücke ein hohes Risiko ausgeht. Andernfalls hätte Apple mit einem Patch bis zu Veröffentlichung von iOS und iPadOS 14.5 gewartet beziehungsweise iOS 12.5 nicht ebenfalls aktualisiert. Cross-Site-Scripting-Lücken sind in der Regel dazu geeignet, Nutzern gefälschte Websites unterzuschieben, um persönliche Informationen wie Anmeldedaten für Online- und Finanzdienste abzugreifen.
Apple verteilt Sicherheitsupdates für iOS und iPadOS generell Over-the-Air. Automatisch sollte die Installation von iOs 14.4.2, iPadOs 14.4.2 und iOS 12.5.2 innerhalb der nächsten Tage erfolgen. Der Vorgang lässt sich aber auch manuell über die Einstellungen-App anstoßen. Der Punkt Softwareupdate findet sich in den Allgemeinen Einstellungen.