{"id":252600,"date":"2021-04-30T01:02:40","date_gmt":"2021-04-29T23:02:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252600"},"modified":"2021-04-30T01:02:40","modified_gmt":"2021-04-29T23:02:40","slug":"schwachstellen-in-ios-und-macos-fixen-april-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/30\/schwachstellen-in-ios-und-macos-fixen-april-2021\/","title":{"rendered":"Schwachstellen in iOS und macOS fixen (April 2021)"},"content":{"rendered":"<p>Auch bei Apple ist die Softwarewelt in Bezug auf Schwachstellen nicht so ganz edel. Auf Macs mit macOS kann Malware die im Betriebssystem vorhandenen Schutzmechanismen umgehen. Und auch in iOS klaffen Sicherheitsl\u00fccken. F\u00fcr die Betriebssysteme stehen aber Updates bereit.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/180e820dd7ee4c7a8649ffb388575e6c\" width=\"1\" height=\"1\"\/>Diese Woche hat Apple wichtige Sicherheitsupdates f\u00fcr seine gesamte Software- und Betriebssystempalette ver\u00f6ffentlicht. Die Updates schlossen auch zwei Zero-Day-Schwachstellen, die in der Praxis bereits ausgenutzt werden. Tenable schreibt dazu, dass Apple die Schwachstelle CVE-2021-30661 gepatcht hat, um eine Sicherheitsl\u00fccke in der WebKit-Storage-Komponente, die in der Browser-Engine verwendet wird, zu schlie\u00dfen. Die Schwachstelle besteht sowohl im Desktop-Betriebssystem (macOS Big Sur) als auch in den mobilen Ger\u00e4ten wie iPhone (iOS), iPad (iPadOS), Apple Watch (watchOS) und dem Betriebssystem f\u00fcr Apple TV, tvOS. Laut Apple k\u00f6nnte ein Angreifer beliebige Code-Ausf\u00fchrung erlangen, wenn er b\u00f6sartig gestaltete Web-Inhalte verarbeitet. Apple ist sich der Berichte bewusst, dass diese Schwachstelle aktiv in freier Wildbahn ausgenutzt wurde.  <\/p>\n<p>Zus\u00e4tzlich zu CVE-2021-30661 hat Apple auch CVE-2021-30657 gepatcht, ein Logikproblem in den Systemeinstellungen. Die Schwachstelle w\u00fcrde es einem Angreifer erm\u00f6glichen, Apples Gatekeeper zu umgehen, der verhindern soll, dass nicht vertrauensw\u00fcrdige Software unter macOS l\u00e4uft. Als Beispiel hat der Sicherheitsforscher Patrick Wardle, der \u00fcber die Schwachstelle geschrieben hat, einen Proof-of-Concept einer Lebenslauf-PDF-Datei erstellt, die, wenn sie ge\u00f6ffnet wird, die Taschenrechneranwendung des Systems startet, eine beliebte gutartige Taktik, die verwendet wird, um eine erfolgreiche Ausnutzung anzuzeigen.  <\/p>\n<p>Die Forscher von Jamf <a href=\"https:\/\/www.jamf.com\/blog\/shlayer-malware-abusing-gatekeeper-bypass-on-macos\/\" target=\"_blank\" rel=\"noopener\">dokumentierten<\/a> auch die \u201eIn-the-wild\"-Ausnutzung von CVE-2021-30657 durch die Betreiber der macOS-Malware Shlayer. Die Gruppe ist bekannt daf\u00fcr, ihre Malware \u00fcber infizierte Suchergebnisse zu verbreiten, die zu gef\u00e4lschten Downloads von Adobe Flash Player f\u00fchren. Ein weiterer Artikel zur Schwachstelle in macOS l\u00e4sst sich <a href=\"https:\/\/techcrunch.com\/2021\/04\/26\/shlayer-mac-malware-macos-security\/\" target=\"_blank\" rel=\"noopener\">bei Techchrunch nachlesen<\/a>. Ein deutschsprachiger Beitrag zu den Schwachstellen in iOS und macOS findet sich <a href=\"https:\/\/www.heise.de\/news\/Schwere-Luecken-in-iOS-und-macOS-Updates-bald-einspielen-6030081.html\" target=\"_blank\" rel=\"noopener\">bei heise<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auch bei Apple ist die Softwarewelt in Bezug auf Schwachstellen nicht so ganz edel. Auf Macs mit macOS kann Malware die im Betriebssystem vorhandenen Schutzmechanismen umgehen. Und auch in iOS klaffen Sicherheitsl\u00fccken. F\u00fcr die Betriebssysteme stehen aber Updates bereit.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185],"tags":[4330,6234,4328,4315],"class_list":["post-252600","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","tag-ios","tag-macos","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252600","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252600"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252600\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252600"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252600"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252600"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}