Gestern Abend hat Apple Bugfix-Updates für seine Betriebssysteme veröffentlicht und damit die bekannte Jailbreak-Lücke zum zweiten Mal geschlossen. Das dürften dann auch die letzten Aktualisierungen von iOS vor den großen Firmware-Updates im Herbst sein.
Jailbreak-Lücke zum zweiten Mal geschlossen
Apple hatte in die iOS-Version 12.4 versehentlich eine Schwachstelle erneut eingebaut, die eigentlich längst (nämlich in iOS 12.3) geschlossen worden war. Durch diese Schwachstelle konnten Hacker erstmals seit längerer Zeit wieder einen Jailbreak für Apples Mobilbetriebssystem anbieten, so dass interessierte Nutzer die Chance hatten, nicht ausschließlich den Apple Store, sondern auch den inoffiziellen Cydia-Appstore auf dem iPhone, iPad oder iPod touch zu nutzen.
Details zur Sicherheitslücke CVE-2019-8605
Ned Williamson, ein Sicherheitsingenieur von Google Project Zero, entdeckte die Schwachstelle mit der Bezeichnung CVE-2019-8605, die es einer bösartigen Anwendung ermöglicht, eine „user-after-free“-Sicherheitslücke auszunutzen und Code mit Systemrechten im Kernel von iOS auszuführen.
Die Lücke hatte Apple zwar schon in iOS 12.3 behoben, aber dann vergessen, diesen Patch auch in iOS 12.4 einzusetzen und damit die Sicherheitslücke erneut aufgerissen.
Anfang dieses Monats veröffentlichte dann ein Sicherheitsforscher namens Pwn20wnd einen öffentlichen Exploit, der auf Williamsons Entdeckung fußt und dazu benutzt werden kann, die aktuellsten iOS-Geräte zu kompromittieren.
