Weniger als zwei Wochen nachdem Apple vorgeworfen wurde, wegen einer iOS-Sicherheitslücke leichtsinnig vorzugehen, ging das Unternehmen das Problem an, indem es einen Patch für iPhone- und iPad-Geräte veröffentlichte.
Das neue Sicherheitsupdate behebt eine kürzlich entdeckte Denial-of-Service-Schwachstelle namens „doorLock“. Die erstmals vom Sicherheitsforscher Trevor Spiniolas entdeckte Schwachstelle betrifft Apple HomeKit in den iOS-Versionen 14.7 bis 15.2. HomeKit ist eine Softwareplattform zur Erstellung von Smart-Home-Anwendungen.
Um das Problem zu veranschaulichen, hat Spinolas ein kurzes Video auf YouTube aufgenommen. Darin beschreibt er, wie der Fehler ausgenutzt werden kann, und zeigt, dass ein böswilliger Akteur lediglich den Namen des HomeKit-Geräts in einen Namen mit mehr als 500,000 Zeichen ändern muss.
Endlose Schleife von Abstürzen und Neustarts
Eine iOS-App mit Zugriff auf Home-Daten könnte theoretisch die Namen von HomeKit-Geräten ändern, selbst wenn dem Zielendpunkt keine Home-Geräte hinzugefügt wurden. Da es sich hierbei nicht um eine „de jure“-Schwachstelle handelt, stellt sich die große Frage, wie Antivirenanwendungen sie beheben würden. Es gibt keine Malware, die diesen Fehler ausnutzt.
Das Gerät würde beim Versuch, den langen Namen zu laden, einfrieren und der Benutzer hätte keine andere Wahl, als ihn zurückzusetzen. Um das Ganze noch schlimmer zu machen, würde das Zurücksetzen alle gespeicherten Daten löschen und sobald das Gerät wieder eine Verbindung zu iCloud herstellt, das mit dem HomeKit-Gerät verknüpft ist, wird es erneut gesperrt.
Spinolas sagte, er habe Apple im August letzten Jahres über den Fehler informiert, jedoch ohne Erfolg. Allerdings hat Apple das Problem nun in OS 15.2.1 und iPadOS 15.2.1 behoben, indem es eine verbesserte Eingabevalidierung hinzugefügt hat.
Ab sofort sind alle iPad Pro-Modelle, alle iPhones ab Modell 6, alle iPad Air-Geräte ab Modell 2, alle iPads ab der 4. Generation, alle iPad minis ab Version XNUMX sowie die iPod touch-Geräte der XNUMX. Generation geschützt .
- Sie können sich auch unsere Liste der derzeit besten Firewalls ansehen.
Via: BleepingComputer