Am Abend der iPad-Keynote hat Apple zusammen mit iTunes 10.6 auch endlich die finale Version von iOS 5.1 für iPhone, iPad und iPod touch zum Download bereit gestellt. Neben zahlreichen Neuerungen (z.B. Genius Mixe für iTunes Match Kunden, 3G-Schalter für das iPhone 4S, Löschen von Fotos aus dem Fotostream) hat Apple auch diverse Sicherheitslücken in den Bereichen WebKit, Safari, Siri, VPN etc. geschlossen. Mindestens eine Lücke wurde jedoch nicht entdeckt und bearbeitet.
Die Sicherheitsexperten von MajorSecurity haben eine Sicherheitslücke im mobilen Safari unter iOS 5.1 aufgespürt. Ein Schlupfloch in der Jacascript Engine erlaubt es, die Adresszeilen beliebig auszutauschen. So lassen sich gefälscht URLs anzeigen.
Dem normalen Anwender kann vorgegaukelt werden, dass er beispielsweise auf apple.com surft, obwohl die geladenen Inhalte von einem anderen Server stammen. Über diesen Weg können User Opfer von Phishing-Attacken werden. Die Lücke wird hier von Major Security näher beschrieben. Eine Testseite haben die Sicherheitsexperten hier hinterlegt. Über eine manipulierte Webseite glaubt der Nutzer, er sei auf apple.com unterwegs, während sich alles in Wirklichkeit auf der vom Angreifer kontrollierten Webseite abspielt. Die Lücke wird mit der Risiko-Stufe „mittel-hoch“ beschrieben. Apple wurde bereits Anfang des Monats über die Lücke informiert.
Diese Meldungen haben ja immer den einen Vorteil:
Ganz viele Menschen hören von Sicherheitslücken und kapieren langsam das der Mac nicht so unangreifbar ist wie immer alle weismachen wollen (Selbst Apple hat inzwischen von diesem Optimismus Abstand genommen)