2018-1060: Apple iOS: Mehrere Schwachstellen ermöglichen u.a. die Übernahme des Systems

Historie:

Version 1 (2018-06-04 17:00)

Neues Advisory

Version 2 (2018-07-23 19:36)

Apple aktualisiert die englische Version des referenzierten Sicherheitshinweises und informiert darüber, das mit dem Update auch eine Schwachstelle in der in iPhone X, iPhone 8, iPhone 8 Plus, iPad (6. Generation) und iPad Air 2 verwendeten Bluetooth-Komponente behoben wurde. Diese Schwachstelle ermöglicht einem Angreifer in Reichweite des Bluetooth-Senders die komplette Kompromittierung von Bluetooth-Datenverkehr. Zwischenzeitlich wurden auch Informationen zu einer Schwachstelle in CoreGraphics veröffentlicht, die einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes ermöglichen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer mit Hilfe einer manipulierten App, welche ein Benutzer zuvor installieren muss, die komplette Übernahme des Systems. Weitere Schwachstellen ermöglichen dem zumeist entfernten und nicht authentisierten Angreifer das Ausspähen von Informationen, die Ausführung beliebigen Programmcodes, die Eskalation seiner Privilegien, die Manipulation von Dateien, das Umgehen von Sicherheitsvorkehrungen und die Darstellung falscher Informationen. Mehrere Schwachstellen ermöglichen dem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen durch den Sprachassistenten Siri auch auf gesperrten Geräten.

Apple veröffentlicht die iOS Version 11.4 als Sicherheitsupdate zur Behebung dieser Schwachstellen.

Schwachstellen:

CVE-2018-4100

Schwachstelle in LinkPresentation ermöglicht Denial-of-Service-Angriff

CVE-2018-4188

Schwachstelle in WebKit ermöglicht Darstellen falscher Informationen

CVE-2018-4190

Schwachstelle in WebKit ermöglicht Ausspähen von Anmeldedaten

CVE-2018-4192

Schwachstelle in WebKit ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-4194

Schwachstelle in CoreGraphics ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-4198

Schwachstelle in UIKit ermöglicht Denial-of-Service-Angriff

CVE-2018-4199 CVE-2018-4200 CVE-2018-4201 CVE-2018-4204 CVE-2018-4218 CVE-2018-4222 CVE-2018-4233 CVE-2018-4246

Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-4200

Schwachstelle in WebKit ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-4202

Schwachstelle in iBooks ermöglicht Darstellen falscher Informationen

CVE-2018-4211

Schwachstelle in FontParser ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-4214

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2018-4215

Schwachstelle in Bluetooth ermöglicht Privilegieneskalation

CVE-2018-4221

Schwachstelle in Security ermöglicht Ausspähen von Informationen

CVE-2018-4223

Schwachstelle in Security ermöglicht Ausspähen von Informationen

CVE-2018-4224

Schwachstelle in Security ermöglicht Ausspähen von Informationen

CVE-2018-4225

Schwachstelle in Security ermöglicht Manipulation von Dateien

CVE-2018-4226

Schwachstelle in Security ermöglicht Ausspähen von Informationen

CVE-2018-4227

Schwachstelle in Mail ermöglicht Ausspähen von Informationen

CVE-2018-4232

Schwachstelle in Webkit ermöglicht Manipulation von Cookies

CVE-2018-4235

Schwachstelle in Messages ermöglicht Darstellen falscher Informationen

CVE-2018-4237

Schwachstelle in libxpc ermöglicht Privilegieneskalation

CVE-2018-4238

Schwachstelle in Siri ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-4239

Schwachstelle in Magnifier ermöglicht Ausspähen von Informationen

CVE-2018-4240 CVE-2018-4250

Schwachstellen in Messages ermöglichen Denial-of-Service-Angriff

CVE-2018-4241 CVE-2018-4243 CVE-2018-4249

Schwachstellen in Kernel ermöglichen Übernahme des Systems

CVE-2018-4244

Schwachstelle in Siri Contacts ermöglicht Ausspähen von Informationen

CVE-2018-4247

Schwachstelle in Safari ermöglicht Denial-of-Service-Angriff

CVE-2018-4252

Schwachstelle in Siri ermöglicht Ausspähen von Informationen

CVE-2018-5383

Schwachstelle in Bluetooth ermöglicht Man-in-the-Middle-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.