Eine Schwachstelle in iOS 14.4.2 und iPadOS 14.4.2 ermöglicht cross site scripting (XSS). Das teilte das Bürger-Cert des BSI gestern Nachmittag mit. Apple weißt auf diese Schwachstelle im neuesten Betriebsystem-Update iOS 14.4.2 & iPadOS 14.4.2 für mobile Endgeräte hin. Link zur Meldung (extern)
Laut Apple wurde die Schwachstelle möglicherweise schon ausgenutzt. In der Schwachstellenliste für Comptersysteme (Common Vulnerabilities and Exposures) ist diese unter CVE-2021–1879 (extern) eingetragen.
Betroffen sind alle Geräte für die genannten Betriebs-Systeme:
- iPhone 6s und neuer
- iPad Pro, iPad Air 2 und neuer, iPad (5. Generation und neuer), iPad mini 4 und neuer
- iPod toch (7. Generation)
XSS in iOS – Was ist cross site scripting?
Ist das Ausnutzen einer Sicherheitslücke in Webanwendungen. Mit dem Angriff wird u. a. versucht an vertrauliche Daten der Nutzer zu kommen. Aber auch das Übernehmen von Anwendungen ist möglich. Es ist die am häufigsten verbreitete Angriffs-Variante im Internet. Ein Angreifer bringt dabei in eine vermeintlich vertrauenswürdige Umgebung Schadcode ein.
Was tun?
Wie immer ruhig bleiben. Aufgrund der Komplexität der Codes kommt es immer wieder zu Sicherheitslücken. Ich werde zunächst auf die Aktualisierung verzichten und 14.4.1 weiter nutzen. Es handelt sich hierbei um ein kleineres Update. Sobald verfügbar werde ich dann den neuesten Patch installieren.