Zitat heise.de:

Die erste Lücke befindet sich im PDF-Viewer und lässt sich zur Einschleusung von Schadcode missbrauchen. Mit Hilfe der zweiten Lücke im Kernel kann sich der Code höhere Rechte verschaffen und aus der Sandbox ausbrechen. Zur Infektion muss man lediglich eine infizierte PDF-Datei öffnen. Das kann auch schon durch einen präparierten Link über Safari oder eine App geschehen. Das BSI rät daher, bis die Lücken geschlossen sind keine PDF-Dateien auf iOS-Geräten zu öffnen und nur vertrauenswürdige Webseiten anzusteuern. Auch Links in Mails und auf Ergebnisseiten von Suchmaschinen solle man kritisch beäugen.

Mögliche Szenarien seien laut einer Mitteilung des BSI der Diebstahl von vertraulichen Daten wie Passwörtern, Terminen, Nachrichten und Kontakten, das Abhören von Telefongesprächen sowie die die Überwachung des Opfers mittels der iPhone-Kamera. Auch die Lokalisierung des Nutzers mittels GPS sei denkbar. Die iOS-Geräte finden auch im geschäftlichen Umfeld großen Anklang und könnten durch die Schwachstelle nach Einschätzung des BSI gezielt dazu genutzt werden, Führungskräfte zu bespitzeln

Also, wer eines der oben genannten Geräte sein Eigen nennt, sollte, bis dies behoben ist auf das Öffnen von PDFs vorerst verzichten. Auch sollten nur bekannte Weblinks geöffnet werden.

Für Besitzer eines Jailbreak-Gerätes gibt es bereits ein Tool, mit dem man diese Lücken etwas „mildern“ kann. Dieses Tool, bereitgestellt durch Hombrew – heise berichtete – warnt zumindest vor dem Öffnen von PDF-Dateien. Wann es eine offiziellen Patch von Seiten Apple gibt, kann ich an dieser Stelle nicht  orakeln.

In diesem Sinne …

Update 12.08.2010:

Jailbreak-Bug behoben

Wie heute auf WinFuture zu lesen war, hat Apple reagiert und das iOS 4.0.2 veröffentlicht, welches diese beiden Schwachstellen behebt. iOS 4.0.2 wird wie immer via iTunes an die Endgeräte verteilt und schließt die Lücken somit auf den iPhone-Modellen 3G, 3GS und 4. Für iPad-Besitzer steht die Firmware 3.2.2 zum Download bereit.  iOS 4.0.2 bringt volle 579 Megabyte auf die Waage.

Schreibe einen Kommentar

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind durch * markiert.

Sie können folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>