2017-2210: Apple iOS: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2017-12-07 15:21)

Neues Advisory

Version 2 (2018-01-09 15:37)

Apple gibt weitere Schwachstellen bekannt, die mit dem Update behoben werden, darunter auch die unter dem Namen 'Meltdown' bekannte Schwachstelle CVE-2017-5754, die einem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen und auch die Ausführung beliebigen Programmcodes mit höchsten Privilegien ermöglicht.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Mehrere Schwachstellen in Apple iOS für iPhone 5s und später, iPad Air und später sowie für iPod touch 6th Generation ermöglichen einem entfernten, nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu bringen, auch mit System- oder Kernel-Privilegien, das Ausspähen von Informationen und das Umgehen von Sicherheitsvorkehrungen, wie etwa der E-Mail-Verschlüsselung. Eine Schwachstelle ermöglicht die Vortäuschung falscher Tatsachen. Die Schwachstelle CVE-2017-13080 (KRACK) kann von einem Angreifer in WLAN-Reichweite dafür ausgenutzt werden, die WPA2-Verschlüsselung zu umgehen.

Apple veröffentlicht die iOS Version 11.2 als Sicherheitsupdate zur Behebung dieser Schwachstellen.

Schwachstellen:

CVE-2017-13080

Schwachstelle in WPA2-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-13833

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2017-13847

Schwachstelle in IOKit ermöglicht Ausführung beliebigen Programmcodes mit Systemrechten

CVE-2017-13855

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2017-13860

Schwachstelle in Mail Drafts ermöglicht Ausspähen von Informationen

CVE-2017-13861

Schwachstelle in IOSurface ermöglicht Ausführung beliebigen Programmcodes mit Kernelrechten

CVE-2017-13862 CVE-2017-13867 CVE-2017-13876

Schwachstellen in Kernel ermöglichen Ausführung beliebigen Programmcodes mit Kernelrechten

CVE-2017-13865 CVE-2017-13868 CVE-2017-13869

Schwachstellen in Kernel ermöglichen Ausspähen von Informationen

CVE-2017-13874

Schwachstelle in Mail ermöglicht Ausspähen von Informationen

CVE-2017-13879

Schwachstelle in IOMobileFrameBuffer ermöglicht Ausfühung beliebigen Programmcodes mit Kernelrechten

CVE-2017-5754

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-7152

Schwachstelle in Apple Mail Message Framework und Contacts ermöglicht Darstellung falscher Informationen

CVE-2017-7156 CVE-2017-7157 CVE-2017-7160 CVE-2017-13856 CVE-2017-13866 CVE-2017-13870

Schwachstellen in WebKit ermöglichen Ausführung beliebiegen Programmcodes

CVE-2017-7162

Schwachstelle in IOKit ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.