2018-1878: Apple iOS: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-09-18 18:02)

Neues Advisory

Version 2 (2018-09-25 17:01)

Apple informiert darüber, dass mit iOS 12 auch verschiedene Schwachstellen in WebKit behoben wurden, die einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, verschiedene Cross-Site-Scripting (XSS)- und Denial-of-Service (DoS)-Angriffe und das Umgehen von Sicherheitsvorkehrungen mit Hilfe speziell präparierter Webinhalte ermöglichen. Ein lokaler, nicht authentisierter Angreifer kann eine weitere Schwachstelle ausnutzen, um Informationen auszuspähen. Im aktualisierten Sicherheitshinweis für iOS 12 wurde der Hinweis auf die bisher erwähnte Schwachstelle CVE-2018-4330 in der Bluetooth-Komponente entfernt.

Version 3 (2018-11-02 17:18)

Apple informiert in einer Aktualisierung seines Sicherheitshinweises darüber, dass mit der Veröffentlichung von iOS 12 zahlreiche bisher nicht genannte Schwachstellen behoben wurden. Die meisten der Schwachstellen wurden auch in der jüngsten Veröffentlichung von iOS 12.1 referenziert, einige davon ermöglichen einem entfernten, nicht authentisierten Angreifer schwerwiegende Angriffe mit Hilfe speziell präparierter Anwendungen, die lokal installiert und ausgeführt werden müssen.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes. Mehrere weitere Schwachstellen ermöglichen einem zumeist entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen sowie die Darstellung falscher Informationen. Eine weitere Schwachstelle ermöglicht dem Angreifer in Bluetooth-Reichweite einen Man-in-the-Middle (MitM)-Angriff. In den meisten Fällen lassen sich die Schwachstellen nur ausnutzen, wenn ein Nutzer zuvor eine manipulierte Applikation auf dem Gerät installiert hat. Zur Ausnutzung einiger Schwachstellen ist der Zugriff auf betroffene Geräte nötig.

Apple veröffentlicht iOS 12 als Sicherheitsupdate zur Behebung dieser Schwachstellen für Phone 5s, iPad Air und die darauf folgenden Gerätemodelle sowie für iPod touch (6. Generation).

Schwachstellen:

CVE-2016-1777

Schwachstelle in Apple Web Server ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-4126

Schwachstelle in CFNetwork ermöglicht Ausführung beliebigen Programmcodes mit Systemprivilegien

CVE-2018-4191

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2018-4197 CVE-2018-4306 CVE-2018-4312 CVE-2018-4314 CVE-2018-4315 CVE-2018-4317 CVE-2018-4318

Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-4203

Schwachstelle in Symptom Framework ermöglicht Ausspähen von Informationen

CVE-2018-4299 CVE-2018-4323 CVE-2018-4328 CVE-2018-4358 CVE-2018-4359

Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

CVE-2018-4304

Schwachstelle in Foundation ermöglicht Denial-of-Service-Angriff

CVE-2018-4305

Schwachstelle in iTunes Store ermöglicht Darstellen falscher Informationen

CVE-2018-4307

Schwachstelle in Safari ermöglicht Ausspähen von Informationen

CVE-2018-4309

Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-4310

Schwachstelle in MediaRemote ermöglicht Privilegieneskalation

CVE-2018-4311

Schwachstelle in WebKit ermöglicht Ausspähen von Informationen

CVE-2018-4313

Schwachstelle in Messages und Safari ermöglicht Ausspähen von Informationen

CVE-2018-4316

Schwachstelle in WebKit ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-4319

Schwachstelle in WebKit ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-4321

Schwachstelle in Auto Unlock ermöglicht Ausspähen von Apple IDs

CVE-2018-4322

Schwachstelle in Accounts ermöglicht Ausspähen von Informationen

CVE-2018-4325

Schwachstelle in Status Bar ermöglicht Ausspähen von Informationen

CVE-2018-4326

Schwachstelle in mDNSOffloadUserClient ermöglicht Ausführung beliebigen Programmcodes mit Kernelprivilegien

CVE-2018-4329

Schwachstelle in Safari ermöglicht Ausspähen von Informationen

CVE-2018-4331 CVE-2018-4332 CVE-2018-4343

Schwachstellen in Heimdal ermöglichen Ausführung beliebigen Programmcodes mit Systemprivilegien

CVE-2018-4333

Schwachstelle in Crash Reporter ermöglicht Ausspähen von Informationen

CVE-2018-4335

Schwachstelle in IOMobileFrameBuffer ermöglicht Ausspähen von Informationen

CVE-2018-4336 CVE-2018-4337 CVE-2018-4340 CVE-2018-4344 CVE-2018-4425

Schwachstellen in Kernel ermöglichen Ausführung beliebigen Programmcodes mit Kernelprivilegien

CVE-2018-4341

Schwachstelle in IOKit ermöglicht Privilegieneskalation

CVE-2018-4345

Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-Angriff

CVE-2018-4347

Schwachstelle in CoreText ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-4352

Schwachstelle in Notes ermöglicht Ausspähen von Informationen

CVE-2018-4354

Schwachstelle in IOKit ermöglicht Privilegieneskalation

CVE-2018-4355

Schwachstelle in iBooks ermöglicht Ausspähen von Informationen

CVE-2018-4356

Schwachstelle in CoreMedia ermöglicht Ausspähen von Informationen

CVE-2018-4361

Schwachstelle in WebKit ermöglicht Denial-of-Service-Angriff

CVE-2018-4362

Schwachstelle in SafariViewController ermöglicht Darstellen falscher Informationen

CVE-2018-4363

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2018-4383

Schwachstelle in IOKit ermöglicht Ausführung beliebigen Programmcodes mit Kernelprivilegien

CVE-2018-4395

Schwachstelle in Security ermöglicht Denial-of-Service-Angriff

CVE-2018-4399

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2018-4401

Schwachstelle in IOUserEthernet ermöglicht Ausführung beliebigen Programmcodes mit Kernelprivilegien

CVE-2018-4407

Schwachstelle in Kernel ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2018-4408

Schwachstelle in IOHIDFamily ermöglicht Ausführung beliebigen Programmcodes mit Kernelprivilegien

CVE-2018-4412

Schwachstelle in CoreFoundation ermöglicht Privilegieneskalation

CVE-2018-4414

Schwachstelle in CoreFoundation ermöglicht Privilegieneskalation

CVE-2018-4426

Schwachstelle in Grand Central Dispatch ermöglicht Ausführung beliebigen Programmcodes mit Systemprivilegien

CVE-2018-5383

Schwachstelle in Bluetooth ermöglicht Man-in-the-Middle-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.