UPDATE: DFN-CERT-2019-1512 Apple iOS: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

UPDATE: DFN-CERT-2019-1512 Apple iOS: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Von

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (14.08.19):
Apple hat seinen Sicherheitshinweis um die Schwachstelle CVE-2019-9506 im
Bluetooth-Protokoll ergänzt, welche einem nicht authentisierten Angreifer
in Bluetooth-Reichweite das Umgehen von Sicherheitsvorkehrungen
ermöglicht.
Version 1 (23.07.19):
Neues Advisory

Mehrere Schwachstellen in Apple iOS für iPhone 5s, iPad Air sowie für iPod
touch 6th Generation und den jeweiligen Nachfolgemodellen ermöglichen es
einem entfernten, nicht authentisierten Angreifer, beliebigen Programmcode
zur Ausführung zu bringen, Informationen auszuspähen,
Sicherheitsvorkehrungen zu umgehen und verschiedene Denial-of-Service (DoS)-
und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Ein Angreifer mit
physischem Zugriff auf ein Gerät kann eine weitere Schwachstelle ausnutzen,
um auf dem Sperrbildschirm In-App-Käufe erfolgreich durchzuführen.

Die meisten dieser Schwachstellen können mit Hilfe speziell präparierter
Anwendungen oder Webseiten ausgenutzt werden, indem ein Benutzer zu einer
Interaktion, beispielsweise zur Installation und Ausführung einer Anwendung
oder zum Besuch einer speziell präparierten Webseite, verleitet wird. Der
Hersteller gibt für eine der genannten Schwachstellen verschiedene
betroffene Produkte an: CVE-2019-8646 betrifft den Sprachassistent Siri und
die Komponente Core Data.

Apple veröffentlicht iOS 12.4 als Sicherheitsupdate zur Behebung der
referenzierten Schwachstellen.

Gleichzeitig werden iOS 9.3.6 und 10.3.4 als Updates für ältere Geräte mit
iOS 9 und iOS 10 zum Download bereitgestellt. Der Hersteller führt diese
Updates als Sicherheitsupdates auf und gibt an, dass diese keine
Schwachstellen mit bisher veröffentlichten CVE-Bezeichnern adressieren. In
den Veröffentlichungshinweisen wird lediglich ein Problem im Kontext von GPS
erwähnt, das zu einer falschen Systemzeit führen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-1512]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team


(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

© COMPUTEC MEDIA GmbH
Nach oben