2019-1512: Apple iOS: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-07-23 16:38)

Neues Advisory

Version 2 (2019-08-14 17:46)

Apple hat seinen Sicherheitshinweis um die Schwachstelle CVE-2019-9506 im Bluetooth-Protokoll ergänzt, welche einem nicht authentisierten Angreifer in Bluetooth-Reichweite das Umgehen von Sicherheitsvorkehrungen ermöglicht.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Mehrere Schwachstellen in Apple iOS für iPhone 5s, iPad Air sowie für iPod touch 6th Generation und den jeweiligen Nachfolgemodellen ermöglichen es einem entfernten, nicht authentisierten Angreifer, beliebigen Programmcode zur Ausführung zu bringen, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und verschiedene Denial-of-Service (DoS)- und Cross-Site-Scripting (XSS)-Angriffe durchzuführen. Ein Angreifer mit physischem Zugriff auf ein Gerät kann eine weitere Schwachstelle ausnutzen, um auf dem Sperrbildschirm In-App-Käufe erfolgreich durchzuführen.

Die meisten dieser Schwachstellen können mit Hilfe speziell präparierter Anwendungen oder Webseiten ausgenutzt werden, indem ein Benutzer zu einer Interaktion, beispielsweise zur Installation und Ausführung einer Anwendung oder zum Besuch einer speziell präparierten Webseite, verleitet wird. Der Hersteller gibt für eine der genannten Schwachstellen verschiedene betroffene Produkte an: CVE-2019-8646 betrifft den Sprachassistent Siri und die Komponente Core Data.

Apple veröffentlicht iOS 12.4 als Sicherheitsupdate zur Behebung der referenzierten Schwachstellen.

Gleichzeitig werden iOS 9.3.6 und 10.3.4 als Updates für ältere Geräte mit iOS 9 und iOS 10 zum Download bereitgestellt. Der Hersteller führt diese Updates als Sicherheitsupdates auf und gibt an, dass diese keine Schwachstellen mit bisher veröffentlichten CVE-Bezeichnern adressieren. In den Veröffentlichungshinweisen wird lediglich ein Problem im Kontext von GPS erwähnt, das zu einer falschen Systemzeit führen kann.

Schwachstellen:

CVE-2018-16860

Schwachstelle in Heimdal / Samba ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-13118

Schwachstelle in libxslt ermöglicht Ausspähen von Informationen

CVE-2019-8641

Schwachstelle in Foundation ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-8644 CVE-2019-8666 CVE-2019-8669 CVE-2019-8671 CVE-2019-8672 CVE-2019-8673 CVE-2019-8676 CVE-2019-8677 CVE-2019-8678

Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-8646

Schwachstelle in Core Data und Siri ermöglicht Ausspähen von Informationen

CVE-2019-8647

Schwachstelle in Core Data ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-8648

Schwachstelle in FaceTime ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-8649

Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-8657

Schwachstelle in UIFoundation ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-8658

Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-8660

Schwachstelle in Core Data ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-8662

Schwachstelle in Quick Look ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-8663

Schwachstelle in Found in Apps ermöglicht u. a. Ausspähen von Informationen

CVE-2019-8665

Schwachstelle in Messages ermöglicht Denial-of-Service-Angriff

CVE-2019-8679 CVE-2019-8680 CVE-2019-8681 CVE-2019-8683 CVE-2019-8684 CVE-2019-8685 CVE-2019-8686 CVE-2019-8687 CVE-2019-8688

Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-8682

Schwachstelle in Wallet ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-8689

Schwachstelle in WebKit ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-8690

Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-8698

Schwachstelle in Profiles ermöglicht Denial-of-Service-Angriff

CVE-2019-8699

Schwachstelle in Telephony ermöglicht Ausspähen von Informationen

CVE-2019-9506

Schwachstelle in Bluetooth-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.