2018-0053: Apple Safari und Webkit für macOS und iOS - Spectre: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2018-01-09 12:37): Neues Advisory

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Die Untersuchungen der beiden in Mikroprozessoren bestehenden, unter dem Namen 'Spectre' bekannt gewordenen Schwachstellen hat ergeben, dass die bisher als lokal oder auf das eigene Netzwerk beschränkt angesehenen Angriffe sich mit Hilfe von JavaScript-Engines in Browsern auch auf entfernte Ziele erweitern lassen. Ein entfernter, nicht authentisierter Angreifer kann dies mit Hilfe speziell präparierter Webseiten ausnutzen, um Daten von anderen Webseiten auszulesen (und damit die Same-Policy-Origin zu umgehen) oder Daten aus dem Browser selbst auszuspähen.

Für Apple Safari stehen Sicherheitsupdates auf Version 11.0.2 (11604.4.7.1.6) für OS X El Capitan 10.11.6 und auf Version 11.0.2 (12604.4.7.1.6) für macOS Sierra 10.12.6 bereit, um die Schwachstellen zu beheben. Für macOS High Sierra 10.13.2 steht ein Supplemental Update bereit, durch welches Safari auf Version 11.0.2 (13604.4.7.1.6) oder (13604.4.7.10.6) aktualisiert wird. Da sich bei diesem Sicherheitsupdate die Versionsnummer von Safari nicht ändert, empfiehlt Apple diese manuell zu prüfen. Für Apple iOS steht ein Sicherheitsupdate auf Version 11.2.2 bereit, welches ebenfalls die Schwachstellen behebt.

Schwachstellen:

CVE-2017-5715

Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen

CVE-2017-5753