iPhone-Browser-Sicherheitslücke: Patch in Arbeit, BSI warnt vor Schwachstelle
kg, den 5. August 2010Ein Patch für die Sicherheitslücke im Mobile Safari des iPhone ist bereits entwickelt und soll in einem kommenden Softwareupdate integriert sein. Währenddessen hat das Bundesamt für Sicherheit in der Informationstechnik eine Warnung bezüglich der Lücke herausgegeben.
Gestern hieß es noch, dass man sich bei Apple der Sicherheitslücke bewusst sei, nun wurde in einem Statement bekannt gegeben, dass ein Fix bereits vorbereitet wurde, der „für Kunden verfügbar in einem kommenden Softwareupdate verfügbar sein soll“. Wann dieses Update veröffentlicht wird, ist aber noch offen.
Die Sicherheitslücke scheint so schwerwiegend zu sein, dass sich in Deutschland bereits Verwaltungsinstitutionen zu Wort melden: Das Bundesamt für Sicherheit in der Informationstechnik warnt vor der Schwachstelle und empfiehlt, mobil keine PDF-Dateien mehr aufzurufen, weder im Browser noch in E-Mails oder verschiedenen Apps. Gleiches gelte für Hyperlinks, nur solche aus vertrauenswürdigen Quellen sollten angeklickt werden. Das BSI steht in Kontakt mit Apple.
Zum Hintergrund: Es gibt zwei Schwachstellen, die in Kombination eine extreme Sicherheitslücke darstellen. Zum einen geht es um die Art und weise, wie der Browser mit PDF-Files umgeht, Code kann in die „Sandbox“ der Anwendungen eindringen, zum anderen erlaubt eine weitere Lücke dem Code, aus der Sandbox der Anwendung herauszubrechen und root-Zugriff auf das Gerät zu bekommen. Die angesprochene Sicherheitslücke macht sich unter anderem das Jailbreaktool jailbreakme zu Nutze, via Browser kann man so sein iPhone, iPad und den iPod touch jailbreaken, ohne Umweg über den Rechner.