Apple schließt Zero-Click-Sicherheitslücke

Veröffentlicht am: von

apple imac2021

Das Citizen Lab der Universität Toronto entdeckte bereits vor einiger Zeit bei der Analyse eines Apple-Smartphones eines saudi-arabischen Aktivisten eine schwerwiegende Sicherheitslücke im iMessages-Dienst, bei der keine Benutzerinteraktion notwendig ist. Laut den Forschern wird die Schwachstelle seit Februar dieses Jahres aktiv ausgenutzt. Die Lücke wird unter der Kennung CVE-2021-30860 geführt. 

Um das iPhone zu übernehmen reichte es aus eine angepasste PDF-Datei per iMessage zu verschicken. Diese musste lediglich vorher mit der Endung .gif versehen werden. Anschließend begann der Apple-Messenger die Nachricht mit der Bild-Rendering-Bibliothek Coregraphics zu verarbeiten. Genau dort klafft auch die Sicherheitslücke. Durch einen Integer-Overflow ist es Angreifern möglich Schadcode auszuführen. 

» zur Galerie

Das genannte Sicherheitsrisiko ist allerdings nun gebannt und Apple veröffentlicht für seine Geräte ein entsprechendes Update. Sowohl das iOS als auch das iPadOS werden auf die Version 14.8 aktualisiert. Für MacOS Big Sur steht die Version 11.6 zum Download bereit. Alle Apple Watch-Nutzer dürfen sich über das WatchOS 7.6.2 freuen bzw. sollten diese auch installieren, damit die Lücke geschlossen wird.

Da die Schwachstelle bereits seit Februar des aktuellen Jahres ausgenutzt wird, ist es allen Nutzer dringend zu empfehlen, besagtes Updates umgehend einzuspielen.