Sicherheitslücke in Apple’s Browser-Engine Webkit
Apple hat ein neues Sicherheitsupdate herausgegeben und empfiehlt allen Benutzern, dieses wichtige Sicherheitsupdate umgehend zu installieren.
Apple warnt davor, dass durch schadhaften Code eine bisher unbekannte Schwachstelle in ihrem Browser-Engine Webkit ausgenutzt werden könnte. Mittels Cross Site Scripting könnten Daten kompromittiert werden. Apple befürchtet, dass dieses Problem möglicherweise bereits ausgenutzt wurde. Unter der Referenz CVE-2021-1879 wird diese Schwachstelle geführt, welches durch die Google Threat Analysis Group identifiziert wurde.
Ist meine Unternehmung betroffen?
Es sind alle Apple Smartphones und Tablets mit iOS und iPadOS betroffen.
Was ist zu tun?
Auf den eingesetzten Geräten muss das Betriebssystem aktualisiert werden, Apple hat hierfür iOS 14.4.2 und iPadOS 14.4.2 bereitgestellt. Auch ältere Modelle ohne aktuelle Software erhalten ein separates Updates mit iOS 12.5.2.
Auf firmeneigenen Geräten kann das Update durch eine Management Software forciert werden. Mitarbeitetende mit privaten Geräten sollten zu einem Update aufgefordert werden, anderenfalls können Geräte mit einer niedrigeren Version von der Synchronisation ausgeschlossen werden.
Wie können wir uns in Zukunft darauf vorbereiten?
Die Verwaltung von mobilen Endgeräten mit einem Unified Endpoint Management (UEM) ist unerlässlich, nur so kann der Status des Gerätes überwacht und die OS-Version geprüft werden. Es kann gegen bekannte Jailbreak/Root Programme abgesichert und auf Zero Day Lücken mit modernen Threat Detection Lösungen (MTD) geprüft werden. Weiter kann das Netzwerk auf Anomalien sowie potentiell schädliche Apps analysiert werden und ungewünschter Netzwerkverkehr mit Phishingschutz unterbunden werden.
Bei Verdachtsfällen kann direkt auf dem Gerät die entsprechende Gegenmassnahme eingeleitet werden. Diese Informationen bilden die Grundlage für eine solide Zero-Trust Strategie zum Schutz Ihrer Daten.
Quellen:
https://support.apple.com/de-de/HT212256
https://www.mobileiron.com/en/products/mobile-threat-defense
Gregor ist Mitglied der Geschäftsleitung von Inseya und leitet den Bereich Enterprise Mobility. Er verfügt über ein MBA Abschluss im Bereich Innovationsmanagement und technische Zertifizierungen im Bereich Enterprise Security und Device Management. Seine Freizeit verbringt er gerne mit seiner Familie oder mit Aikido-Training.