2019-0948: Apple iOS: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2019-05-14 16:04)
- Neues Advisory
- Version 2 (2019-07-05 13:21)
- Apple aktualisiert den Sicherheitshinweis für iOS und informiert über zwei Denial-of-Service (DoS)-Schwachstellen, die mit dem Update auf iOS 12.3 behoben worden sind. Für diese Schwachstellen (CVE-2019-8573, CVE-2019-8664) ist mittlerweile ein Exploit veröffentlicht worden.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Apple
Beschreibung:
Eine Vielzahl von Schwachstellen in Apple iOS für iPhone 5s und später, iPad Air und später sowie für iPod touch 6th Generation ermöglichen einem entfernten, nicht authentisierten Angreifer beliebigen Programmcode zur Ausführung zu bringen, auch mit Systemprivilegien, das Ausspähen von Informationen, die Eskalation von Privilegien und die Durchführung von Denial-of-Service (DoS)-Angriffen. Zwei Schwachstellen ermöglichen einem lokalen, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen, das Ausspähen von Informationen, das Herbeiführen eines Systemabsturzes und das Darstellen falscher Informationen. Eine Schwachstelle in Wi-Fi ermöglicht einem nicht authentisierten Angreifer im benachbarten Netzwerk das Ausspähen der WiFi-MAC-Adresse. Ein Angreifer mit physischem Zugriff auf ein Gerät kann eine weitere Schwachstelle ausnutzten, um die für iTunes verwendete E-Mail-Adresse auszuspähen.
Die meisten dieser Schwachstellen können mit Hilfe speziell präparierter Anwendungen oder Websites ausgenutzt werden, indem ein Benutzer zu einer Interaktion, beispielsweise zur Installation einer schädlichen Anwendung, verleitet wird.
Apple veröffentlicht die iOS Version 12.3 als Sicherheitsupdate zur Behebung dieser Schwachstellen.
Schwachstellen:
CVE-2019-6237 CVE-2019-8571 CVE-2019-8583 CVE-2019-8584 CVE-2019-8586 CVE-2019-8587 CVE-2019-8594
Schwachstellen in WebKit ermöglichen Ausführung beliebigen ProgrammcodesCVE-2019-8560
Schwachstelle in Disk Images ermöglicht Ausspähen von InformationenCVE-2019-8568
Schwachstelle in MobileInstallation / StreamingZip ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-8573
Schwachstelle in Messages ermöglicht Denial-of-Service-AngriffCVE-2019-8574
Schwachstelle in sysdiagnose ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-8576
Schwachstelle in Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-8577
Schwachstelle in SQLite ermöglicht PrivilegieneskalationCVE-2019-8585
Schwachstelle in CoreAudio ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-8591
Schwachstelle in Kernel ermöglicht u. a. Denial-of-Service-AngriffCVE-2019-8593
Schwachstelle in AppleFileConduit ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-8595 CVE-2019-8596 CVE-2019-8597 CVE-2019-8601 CVE-2019-8608 CVE-2019-8609 CVE-2019-8610
Schwachstellen in WebKit ermöglichen Ausführung beliebigen ProgrammcodesCVE-2019-8598
Schwachstelle in Contacts / SQLite ermöglicht Ausspähen von InformationenCVE-2019-8599
Schwachstelle in Lock Screen ermöglicht Ausspähen von InformationenCVE-2019-8600
Schwachstelle in SQLite ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-8602
Schwachstelle in SQLite ermöglicht PrivilegieneskalationCVE-2019-8605
Schwachstelle in Kernel ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-8607
Schwachstelle in WebKit ermöglicht Ausspähen von InformationenCVE-2019-8611 CVE-2019-8615 CVE-2019-8619 CVE-2019-8622 CVE-2019-8623 CVE-2019-8628
Schwachstellen in WebKit ermöglichen Ausführung beliebigen ProgrammcodesCVE-2019-8613
Schwachstelle in Mail Message Framework ermöglicht Ausführung beliebigen ProgrammcodesCVE-2019-8617
Schwachstelle in Photos Storage ermöglicht PrivilegieneskalationCVE-2019-8620
Schwachstelle in Wi-Fi ermöglicht Ausspähen von InformationenCVE-2019-8626
Schwachstelle in Mail ermöglicht Denial-of-Service-AngriffCVE-2019-8630
Schwachstelle in Status Bar ermöglicht Darstellen falscher InformationenCVE-2019-8637
Schwachstelle in MobileLockdown ermöglicht PrivilegieneskalationCVE-2019-8664
Schwachstelle in Messages ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.