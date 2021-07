Nur wenige Tage ist es her, dass Apple mit iOS 14.7 das jüngste iPhone-System veröffentlichte. Jetzt legt der Konzern nach – und schließt mehr als ein Dutzend Sicherheitslücken.

Geht es um Betriebssystem-Updates, ist der Sommer bei Apple in der Regel eher eine ruhige Zeit. Die nächsten großen Updates für iPhone, Mac und Co. wurden bereits auf der Hausmesse WWDC vorgestellt (hier erfahren Sie mehr), große Sprünge sind also nicht zu erwarten. Nun brachte der Konzern aber für iPhone, iPad und Mac gleich das zweite Update in nur einer Woche heraus. Und das sollten Apple-Nutzer schleunigst installieren.

Lücke wird aktiv genutzt

Denn der Konzern verbindet das Update mit einer ungewohnt klaren Warnung. "Apple sind Berichte bekannt, nach denen dieses Problem aktiv ausgenutzt wird", heißt es auf einer Informationsseite zur "CVE-2021-30807" bezeichneten Lücke. Gemeinsam mit der Beschreibung der Lücke ist das durchaus ein Grund zur Sorge: Der behobene Fehler erlaubte es, über eine Korrumpierung des Arbeitsspeichers "willkürlichen Code mit Kernelrechten auszuführen", also auf der höchsten Sicherheitsebene des Systems.

In der Branche gibt es entsprechend Vermutungen, es könne sich um die Lücke handeln, die Hackertool Pegasus erlaubte, das ganze System zu übernehmen. Das von der israelischen NSO Group entwickelte Programm machte Schlagzeilen, weil es Angreifern Vollzugriff auf sämtliche Smartphone-Inhalte wie Chats, Kamera und Mikrofon erlaubt. Apple äußerte sich nicht zu entsprechenden Anfragen, erklärte nur, die Lücke sei von einem anonymen Tippgeber aufgedeckt worden.

iOS 14.7.1 installieren: So müssen Sie vorgehen

Geschlossen wird die Lücke, in dem man jeweils die neuesten Systeme für iPhone (iOS 14.7.1), iPad (iPadOS 14.7.1) oder macOS (Big Sur 11.5.1) herunterlädt und installiert. Die Updates finden sich jeweils in den Einstellungen unter "Allgemein" und "Softwareupdate" (iPhone und iPad) beziehungsweise nur "Softwareupdate" (Mac). Dort wird auch angezeigt, ob das Update bereits automatisch installiert wurde. Sollte das nicht der Fall sein, sollten Sie es so schnell wie möglich nachholen. Das Update steht für alle iPhones und iPads bereit, die iOS 14 unterstützen.

Die drastische Sicherheitslücke ist nicht der einzige behobene Fehler. Auf dem iPhone sorgt das Update auf 14.7.1 dafür, dass die Freischaltung einer Apple Watch über das Entsperren des gekoppelten iPhones wieder funktioniert. Der Fehler war erst mit dem Update auf iOS 14.7 aufgetreten, Apple hatte eine schnelle Lösung in Aussicht gestellt.

Bei der Lücke CVE-2021-30807 handelt es sich um den 13. Zero-Day-Exploit, den Apple dieses Jahr schließt, erklärten die Experten von "Security Week" in einem Blogpost. Der Begriff bezeichnet Fehler, die öffentlich nicht bekannt sind und besonders tiefen Eingriff ins System erlauben. Diese Art Lücken gilt als besonders gefährlich. Gelingt es Angreifern, sie auszunutzen, können sie bis zu einer Entdeckung weitgehend unbehelligt im System agieren. Diese Entdeckung ist für die Nutzer schwierig: Zwar bieten Apples Mobilsysteme einen starken Schutz gegen Schadsoftware, eine Möglichkeit den Schutz durch Drittprogramme zu erhöhen, gibt es aber nicht.

Quellen:Apple, Security Week