iOS 5.1.1

Apple schließt Pwnium-Lücke in iOS

Dienstag, 08.05.2012 | 13:59 von Frank Ziemann
Update auf iOS 5.1.1 verfügbar
Vergrößern Update auf iOS 5.1.1 verfügbar
Apple hat eine Update für sein Mobilsystem iOS bereit gestellt. Es beseitigt neben einigen Fehlern auch vier Sicherheitslücken im integrierten Web-Browser. Eine der Lücken ist bei Googles Hackerwettbewerb Pwnium aufgedeckt worden.
Die neue iOS-Version 5.1.1 behebt drei Schwachstellen in Webkit sowie eine in Safari , dem auf Webkit basierenden Web-Browser. Die Unterscheidung ist sinnvoll, denn Webkit bildet auch die Basis einiger weiterer Browser wie Google Chrome, Epiphany (GNOME) oder Rekonq (Kubuntu), steckt in Mobilsystemen wie iOS, Android, BlackberryOS oder webOS sowie in der Spieleplattform Steam. Webkit-Lücken betreffen also nicht nur Safari.

Dies zeigt sich auch am neuesten iOS-Update. Die drei Webkit-Schwachstellen sind zunächst in Chrome entdeckt worden, zwei davon durch Sergej Glazunov. Eine der Lücken hatte Glazunov bei Googles Hackerwettbewerb Pwnium Anfang März benutzt, um Chrome zu knacken und ein Preisgeld von 60.000 US-Dollar einzustreichen. Die beiden von Glazunov entdeckten Schwachstellen ermöglichen XSS-Angriffe (Cross-site Scripting) beim Besuch einer präparierten Web-Seite.

Die dritte Webkit-Lücke ist durch das Chrome Security Team entdeckt worden. Eine Speicheranfälligkeit kann es einem Angreifer ermöglichen beliebigen Code einzuschleusen und auszuführen. Auch dieser Angriff würde über eine präparierte Web-Seite funktionieren.

Die einzige Safari-spezifische Schwachstelle, die das Update auf iOS 5.1.1 schließt, lässt so genanntes URL-Spoofing zu. Eine entsprechend präparierte Web-Seite kann den Besucher so umleiten, dass für ihn der Eindruck entsteht, er sei auf einer legitimen Website gelandet. Tatsächlich befände er jedoch noch immer auf der Seite des Angreifers, der zum Beispiel vertrauliche Daten abfragen könnte. Laut Apple soll die Safari-Fassung für Mac OS X davon nicht betroffen sein.

Außerdem haben Apples Entwickler eine Reihe weiterer Verbesserungen in iOS vorgenommen, die nicht die Sicherheit betreffen. Das Update ist über iTunes oder direkt über die Software-Aktualisierung des iOS-Geräts ("over-the-air", Luftschnittstelle) erhältlich.

Dienstag, 08.05.2012 | 13:59 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
1452360