UPDATE: DFN-CERT-2017-2276 Apple iCloud for Windows: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und das Ausspähen von Informationen [Windows]

UPDATE: DFN-CERT-2017-2276 Apple iCloud for Windows: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes und das Ausspähen von Informationen [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (23.01.2018):
Apple gibt weitere Schwachstellen bekannt, welche von dem
Sicherheitsupdate behoben werden, darunter die Schwachstelle CVE-2017-7172
in der Komponente ‘CFNetwork Session’, die es einem entfernten, nicht
authentisierten Angreifer ermöglicht beliebigen Programmcode mit
Systemrechten zur Ausführung zu bringen und damit letztlich das System
eines Benutzers zu übernehmen. Hierfür muss der Angreifer einen Benutzer
dazu verleiten eine manipulierte App zu installieren, welche diese
Schwachstelle ausnutzt.
Version 1 (14.12.2017):
Neues Advisory

Betroffene Software:

iCloud < 7.2 Betroffene Plattformen: Microsoft Windows 7 Microsoft Windows 8.1 Microsoft Windows 10 Mehrere Schwachstellen in WebKit ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit Hilfe speziell präparierter Webinhalte, die von iCloud dargestellt werden. Eine weitere Schwachstelle ermöglicht einem Angreifer in einer privilegierten Position im Netzwerk das Ausspähen von Informationen über Benutzer der Software. Der Hersteller veröffentlicht iCloud 7.2 für Windows als Sicherheitsupdate. Patch: Apple Sicherheitshinweis APPLE-SA-2017-12-13-3 / HT208328 (iCloud for Windows 7.2) https://support.apple.com/kb/HT208328

CVE-2017-7153: Schwachstelle in WebKit ermöglicht Darstellung falscher
Informationen

In der Komponente WebKit, welche in iCloud, Safari und iTunes verwendet
wird, existiert eine nicht weiter spezifizierte Schwachstelle, die einem
entfernten, nicht authentisierten Angreifer ermöglicht falsche Informationen
darzustellen und dadurch eventuell einen Benutzer zu täuschen. Voraussetzung
ist, dass ein Benutzer eine vom Angreifer kontrollierte und manipulierte
Website besucht.

CVE-2017-13884 CVE-2017-13885 CVE-2017-7165: Schwachstellen in WebKit
ermöglichen Ausführung beliebigen Programmcodes

WebKit enthält mehrere Schwachstellen, die auf Speicherfehlern (Memory
Corruptions) bei der Verarbeitung von Webinhalten beruhen und von einem
entfernten, nicht authentisierten Angreifer ausgenutzt werden können, um
beliebigen Programmcode zur Ausführung zu bringen.

CVE-2017-7172: Schwachstelle in CFNetzwork Session ermöglicht Ausführung
beliebigen Programmcodes.

Die Komponente CFNetwork Session enthält eine nicht näher spezifizierte
Schwachstelle, die auf Speicherfehlern (Memory Corruptions) beruht und von
einem entfernten, nicht authentisierten Angreifer ausgenutzt werden kann, um
beliebigen Programmcode mit Systemrechten mit Hilfe einer manipulierten App
zur Ausführung zu bringen. Voraussetzung ist, dass es einem Angreifer
gelingt, einen Benutzer dazu zu verleiten eine solche App zu installieren.

CVE-2017-7156 CVE-2017-7157 CVE-2017-7160 CVE-2017-13856 CVE-2017-13866
CVE-2017-13870: Schwachstellen in WebKit ermöglichen Ausführung beliebiegen
Programmcodes

WebKit enthält mehrere Schwachstellen, die auf Speicherfehlern (Memory
Corruptions) bei der Verarbeitung von Webinhalten beruhen und von einem
entfernten, nicht authentisierten Angreifer ausgenutzt werden können, um
beliebigen Programmcode zur Ausführung zu bringen.

CVE-2017-13864: Schwachstelle in APNs Server ermöglicht Ausspähen von
Informationen

Eine Schwachstelle im Apple Push Notifications (APNs) Server ermöglicht
einem entfernten, nicht authentisierten Angreifer in einer privilegierten
Position im Netzwerk das Ausspähen von Informationen über Benutzer. Im
Sicherheitshinweis spricht der Hersteller von ‘User Tracking’; die
Informationen können sich von daher beispielsweise auf das Nutzerverhalten
oder auf dessen Position beziehen. Die Schwachstelle ist im Kontext der
Verwendung von Benutzerzertifikaten aufgetreten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2276/

Apple Sicherheitshinweis APPLE-SA-2017-12-13-3 / HT208328 (iCloud for Windows
7.2):
https://support.apple.com/kb/HT208328

Schwachstelle CVE-2017-13856 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13856

Schwachstelle CVE-2017-13864 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13864

Schwachstelle CVE-2017-13866 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13866

Schwachstelle CVE-2017-13870 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13870

Schwachstelle CVE-2017-7156 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7156

Schwachstelle CVE-2017-7157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7157

Schwachstelle CVE-2017-7160 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7160

Schwachstelle CVE-2017-7153 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7153

Schwachstelle CVE-2017-13884 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13884

Schwachstelle CVE-2017-13885 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-13885

Schwachstelle CVE-2017-7165 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7165

Schwachstelle CVE-2017-7172 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7172

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben