Ein Apple Store in London. Apple hat kürzlich drei Zero-Day-Schwachstellen in iOS gepatcht, die in freier Wildbahn ausgenutzt wurden. (Jon Rawlinson/CC BY 2.0)
Apple meldete am Mittwoch, dass es kürzlich drei neue Zero-Day-Schwachstellen in iOS gepatcht hat, die in freier Wildbahn ausgenutzt wurden.
Der führende Hersteller von iPhones und anderen beliebten mobilen Plattformen, die auf iOS laufen, sagte, die Schwachstellen wurden von einem anonymen Forscher gemeldet. Diese Nachricht kam auf den Fersen der Patching von drei anderen Zero-Day-Schwachstellen im vergangenen November, die von Googles Project Zero Sicherheitsteam entdeckt wurden.
Eine der Schwachstellen, CVE-2021-1782, betrifft den Kernel des Betriebssystems, wo eine böswillige Anwendung in der Lage sein kann, die Privilegien zu erhöhen. Apple sagte, dass eine Race Condition (wenn ein Thread in einer unvorhersehbaren Reihenfolge läuft) mit verbessertem Locking adressiert wurde. Die beiden anderen Schwachstellen, CVE-2021-1871 und CVE-2021-1870, betreffen das WebKit. Apple meldete, dass ein entfernter Angreifer in der Lage sein könnte, die Ausführung von beliebigem Code zu verursachen, und wies darauf hin, dass ein Logikproblem mit verbesserten Einschränkungen adressiert wurde.
Ray Kelly, Principal Security Engineer bei WhiteHat Security, sagte, dass es zwar noch nicht viele Informationen zu den Zero-Days gibt, wir aber wissen, dass alle drei benötigt werden, damit der Exploit funktioniert.
„In diesem Fall waren es zwei WebKit- und ein Kernel-Exploit, um erweiterten Zugriff auf das iOS-Gerät zu erhalten“, so Kelly. „Das zeigt, wie weit böswillige Akteure gehen, um sich Zugang zu mobilen Geräten zu verschaffen. Wie immer ist es wichtig, dass Benutzer mit Updates auf dem Laufenden bleiben, um das Risiko zu verringern, Opfer eines ausgeklügelten Angriffs wie diesem zu werden.“
Hank Schless, Senior Manager, Security Solutions bei Lookout, fügte hinzu, dass Apple sich zwar sehr darauf konzentriert, iOS sicher zu machen, dass es aber mit zunehmendem Funktionsumfang und wachsender Komplexität schwierig ist, dass ihre Produkte keine Schwachstellen haben.
„Sobald Schwachstellen im Betriebssystem entdeckt werden, überlegen Angreifer schnell, wie sie die offene Tür zu den persönlichen Daten eines Opfers ausnutzen können“, sagte Schless. „Häufig nutzen sie mobiles Phishing als Möglichkeit, die Schwachstelle auszunutzen. Bösartige Websites können auf dem Gerät des Opfers Aktionen ausführen, die die Schwachstellen im Betriebssystem oder in den installierten Apps ausnutzen.“
Schless sagte, dass IT- und Sicherheitsteams Einblick in verwertbare Daten über ihre mobile Flotte benötigen, um ihre Benutzer und die Daten, auf die sie zugreifen, vor diesen Bedrohungen zu schützen. Er empfiehlt die Erstellung und Durchsetzung von Richtlinien, die den Zugriff auf Unternehmensdaten einschränken oder blockieren, bis das Gerät vollständig aktualisiert ist.
„Ohne die Durchsetzung von Geräte-Updates geben Sie Angreifern einen Backstage-Pass zu Ihren geschützten Unternehmensdaten, persönlich identifizierbaren Kundeninformationen und äußerst wertvollen Daten“, so Schless.
Einige Teile dieses Artikels stammen aus:
www.scmagazine.com
TeamTNT tarnt Malware mit Open-Source-Tool