Am gestrigen Abend hat Apple die finale Version von iOS 14.8, iPadOS 14.8, macOS Big Sur 11.6 und watchOS 7.6.2 veröffentlicht. Auch wenn die Updates keine neuen Funktionen mit sich bringen, können wir euch nur dringend raten, die Updates auf euren Geräten zu installieren, da Apple eine Sicherheitslücke schließt.

iOS 14.8 schließt Pegasus-Sicherheitslücke

Mit iOS 14.8 und Co. hat Apple eine Sicherheitslücke geschlossen, an deren Beseitigung die Entwickler in den letzten Tagen fieberhaft gearbeitet haben.

Vergangene Woche informierte The Citizen Lab Apple darüber, dass Sicherheitsforscher eine Zero-Click iMessage Sicherheitslücke gefunden haben, die auf die Bildwiedergabebibliothek von Apple abzielt. Der Exploit namens FORCEDENTRY könnte ein iPhone, iPad, eine Apple Watch oder einen Mac mit der Pegasus-Spyware infizieren, die Zugriff auf die Kamera und das Mikrofon sowie den Zugriff auf Textnachrichten, Telefonanrufe und E-Mails ermöglicht.

FORCEDENTRY wurde von der israelischen NSO-Gruppe an Regierungen und verschiedene andere Einrichtungen verteilt. The Citizen Lab entdeckte die Lücke, nachdem es das iPhone eines saudischen Aktivisten analysiert hatte. Details wurden am 7. September an Apple gesendet. Knapp eine Woche später wurde die Lücke nun geschlossen. Laut The Citizen Lab ist FORCEDENTRY mindestens seit Februar 2021 im Einsatz.

Im begleitenden Support Dokument führt Apple die Sicherheitslücke unter der Bezeichnung CVE-2021-30860 auf. So war es möglich, über ein manipuliertes PDF schädlichen Code auf einem Gerät auszuführen.

Bereits im Sommer dieses Jahres tauchten Berichte auf, dass Regierungen das iPhone-Hacking-Tool Pegasus der NSO Group nutzen, um Journalisten und Menschenrechtsaktivisten unerlaubt auszuspionieren. Dabei umgeht Pegasus auch BlastDoor, eine Sicherheitsfunktion, die Apple mit iOS 14 eingeführt hatte. BlastDoor ist ein Sandbox-Sicherheitssystem für Messages, das Exploits wie Pegasus verhindern soll. Mit der Einführung von iOS 15 wird Apple weitere Sicherheitsmechanismen einführen.

Neben der o.g. Sicherheitslücke hat Apple mit iOS 14.8 auch eine weitere WebKit-Sicherheitslücke geschlossen. Mit dieser könnte über eine manipulierte Webseite schädlicher Code ausgeführt werden.