Achtung, jetzt updaten: Apple und Google schliessen wichtige Sicherheitslücken

Apple schliesst mit einem Update für iOS, macOS und watchOS diverse Sicherheitslücken, die von Sicherheitsforschern entdeckt wurden. Eine davon soll bereits aktiv von der Spionage-Software Pegasus ausgenutzt werden. Pegasus stammt vom israelischen Hersteller NSO und wird an staatliche Akteure verkauft. Eigentlich zur Terrorbekämpfung, jedoch sollen mehrere Länder die Software auch gegen politische Gegner und Journalisten einsetzen.

Google hat beim Chrome-Browser unter macOS, Windows und Linux nicht minder wichtige Sicherheitslücken geschlossen. Insgesamt sind es elf Stück, wovon zehn einen hohen Schweregrad aufweisen. Updates sind für macOS, Windows und Linux erschienen.

Apple vs. Pegasus

Apple behebt einige Sicherheitslücken unter iOS, macOS und watchOS. Es stehen Updates auf iOS 14.8 (iPadOS 14.8), macOS Big Sur 11.6 und watchOS 7.6.2 bereit. Die sollten wenn möglich direkt nach dem Lesen dieser News eingespielt werden.

Eine der Sicherheitslücken wird mit grosser Wahrscheinlichkeit von der Pegasus-Spyware des israelischen Herstellers NSO ausgenutzt. Das mutmassen zumindest Sicherheitsforscher von Citizen Lab. Die Software gewährt vollen Zugang zu gespeicherten Daten, der Kamera, dem Mikrofon und zu Passwörtern.

Die besagte Lücke funktioniert mittels Zero-Day-Zero-Click-Installation. Das bedeutet, dass sich die Spyware ohne Zutun des Opfers installiert. Citizen Lab entdeckte beim erneuten Analysieren eines iPhone-Backups, das von einem Aktivisten stammt, boshafte iMessage-Anhänge, scheinbar in Form von GIF-Dateien. Jedoch handelt es sich dabei um als GIF getarnte PDF- und PSD-Dateien mit Schadcode, der eine als «ForcedEntry» bezeichnete Schwachstelle in Apples CoreGraphics-System ausnutzt.

Citizen Lab hat unter der Vermutung, der gefundene Schadcode sei Pegasus zuzuordnen, diesen Apple am 7. September zukommen lassen. Am 13. September veröffentlichte Apple die Updates und bedankte sich bei Citizen Lab für die «sehr schwierige Beschaffung eines Beispiels für diesen Exploit».

Mit dem Update wird ein weiteres Sicherheitsproblem mit WebKit für iOS und macOS Big Sur behoben, das mit den NSO-Exploits zusammenhängen könnte. Hier findest du bei Interesse die Release Notes für iOS, macOS Big Sur und watchOS.

Google Chrome: Elf Sicherheitslücken behoben

Auch Google hat eine Reihe Sicherheitslücken geschlossen – beim Chrome-Browser. Zehn von insgesamt elf sind schwerwiegend. Details dazu werden erst bekannt, wenn genügend viele Endgeräte das Update auf Chrome 93.0.4577.82 für macOS, Windows und Linux eingespielt haben. Google will Kenntnis haben, dass Exploits für die in den Release Notes genannten Sicherheitslücken CVE-2021-30632 und CVE-2021-30633 existieren und aktiv eingesetzt werden.

Ich empfehle dir: Aktualisiere deine Geräte jetzt.