Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (13.12.18):
Apple aktualisiert seinen Sicherheitshinweis und nimmt eine Gruppe von
Forschern in die Danksagungen auf, die im Mai 2018 einen neuen
Bleichenbacher-artigen Angriff auf viele TLS-Implementierungen entdeckt
haben. Das von Apple verwendete coreTLS ist laut Untersuchungsergebnissen
der Forscher ebenfalls verwundbar. Ein entfernter, nicht authentisierter
Angreifer kann mit Hilfe einer präparierten Applikation, welche ein
Benutzer zuvor installieren muss, den Klartext von Informationen
ausspähen, welche nach dem ‘Public Key Cryptography Standard’ PKCS #1 v1.5
verschlüsselt wurden.
Version 2 (06.11.18):
Mittlerweile ist ein Exploit für CVE-2018-4384 bekannt geworden, bei dem
eine bestimmte Sequenz von RTP-Paketen in einem FaceTime-Anruf an ein
betroffenes Gerät gesendet wird und dort eine Kernelpanik auslöst (Denial-
of-Service, DoS). Es ist davon auszugehen, dass dieser funktionierende
Exploit bald für schwerwiegendere Angriffe erweitert wird.
Version 1 (01.11.18):
Neues Advisory

Mehrere Schwachstellen in Apple iOS für iPhone 5s und später, iPad Air und
später sowie für iPod touch 6th Generation ermöglichen einem entfernten,
nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu
bringen, auch mit System- oder Kernelprivilegien, das Ausspähen von
Informationen sowie die Durchführung von Denial-of-Service (DoS)- und Cross-
Site-Scripting (XSS)-Angriffen. Jeweils eine Schwachstelle ermöglicht dem
Angreifer die Eskalation seiner Privilegien, die Darstellung falscher
Informationen sowie das Umgehen von Sicherheitsvorkehrungen. Eine weitere
Schwachstelle ermöglicht dem Angreifer im benachbarten Netzwerk einen
Denial-of-Service-Angriff und zwei Schwachstellen ermöglichen einem lokalen,
nicht authentisierten Angreifer mit Zugriff aus das gesperrte Gerät das
Ausspähen von Informationen sowie das Teilen von Daten und somit auch das
Vortäuschen von Benutzeraktionen.

Apple veröffentlicht die iOS Version 12.1 als Sicherheitsupdate zur Behebung
dieser Schwachstellen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2221]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (06.11.18):
Mittlerweile ist ein Exploit für CVE-2018-4384 bekannt geworden, bei dem
eine bestimmte Sequenz von RTP-Paketen in einem FaceTime-Anruf an ein
betroffenes Gerät gesendet wird und dort eine Kernelpanik auslöst (Denial-
of-Service, DoS). Es ist davon auszugehen, dass dieser funktionierende
Exploit bald für schwerwiegendere Angriffe erweitert wird.
Version 1 (01.11.18):
Neues Advisory

Mehrere Schwachstellen in Apple iOS für iPhone 5s und später, iPad Air und
später sowie für iPod touch 6th Generation ermöglichen einem entfernten,
nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu
bringen, auch mit System- oder Kernelprivilegien, das Ausspähen von
Informationen sowie die Durchführung von Denial-of-Service (DoS)- und Cross-
Site-Scripting (XSS)-Angriffen. Jeweils eine Schwachstelle ermöglicht dem
Angreifer die Eskalation seiner Privilegien, die Darstellung falscher
Informationen sowie das Umgehen von Sicherheitsvorkehrungen. Eine weitere
Schwachstelle ermöglicht dem Angreifer im benachbarten Netzwerk einen
Denial-of-Service-Angriff und zwei Schwachstellen ermöglichen einem lokalen,
nicht authentisierten Angreifer mit Zugriff aus das gesperrte Gerät das
Ausspähen von Informationen sowie das Teilen von Daten und somit auch das
Vortäuschen von Benutzeraktionen.

Apple veröffentlicht die iOS Version 12.1 als Sicherheitsupdate zur Behebung
dieser Schwachstellen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2221]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html