Apple veröffentlicht einen Patch für drei aktiv genutzte iOS 0-Tage, die von Google gefunden wurden

Apple hat kürzlich iOS 14.2 mit dem Patch für drei Zero-Day-Schwachstellen veröffentlicht, die mehrere IPhone-, IPad- und iPod-Geräte betreffen.

Das Unternehmen sagte in einem Sicherheitshinweis zu der Zeit, dass sie die drei Mängel beschreiben; “Apple sind Berichte bekannt, wonach ein Exploit für dieses Problem in freier Wildbahn existiert.”

Drei Zero-Day-Schwachstellen und ihre Ursache:

  • Sicherheitsanfälligkeit bezüglich Remotecodeausführung (CVE-2020-27930) – Sie löst ein Problem mit Speicherbeschädigungen aus, das bei der Verarbeitung einer böswillig erstellten Schriftart durch die FontParser-Bibliothek auftritt.
  • Kernel-Leck (CVE-2020-27950) – verursacht ein Problem mit der Speicherinitiierung und ermöglicht es böswilligen Anwendungen, in den Kernel-Speicher zu gelangen.
  • Eskalationsfehler bei Kernel-Berechtigungen (CVE-2020-27932) – Dies ist eine Art Verwirrungsproblem. Malware kann beliebigen Code mit Kernel-Berechtigungen ausführen.

Zu den betroffenen Apple-Geräten gehören das iPhone 6s und höher, der iPod touch der 7. Generation, das iPad Air 2 und höher sowie das iPad mini 4 und höher. Die Liste enthält auch Macs, auf denen MacOS Catalina-Versionen vor 10.15.7 ausgeführt werden, Ipads mit iOS-Version vor iOS 14.2, Apple Watch vor WatchOS 7.1, WatchOS 6.2.9, WatchOS 5.3.9 und Apple TV mit TVOS-Versionen vor tvOS 14.2.

Das Zero-Hunting-Team von Project Zero Google berichtete Apple über das Sicherheitsproblem. Dort haben die Forscher in den letzten zwei Wochen vier weitere Null-Tage offengelegt oder gepatcht. Zwei davon sind die Chrome Zero-Days-Fehler CVE-2020-15999 in der FreeType-Text-Rendering-Bibliothek und CVE-2020-16009 in der WebAssembly- und JavaScript-Engine.

Der dritte war CVE-2020-16010, der beim Überlaufen des Heap-Puffers in der Android-Benutzeroberfläche verursacht wurde. Es wurde mit dem Chrome für Android 86.0.4240.185 behoben, das am Montag veröffentlicht wurde.

Projekt Null enthüllte auch eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen (EoP). Der Patch für diesen Windows-Zero-Day sollte von Microsoft mit dem Patch dieses Monats bereitgestellt werden.