2020-0844: MobileMail / maild für Apple iOS: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-04-24 15:50): Neues Advisory
Version 2 (2020-05-27 11:52): Apple stellt iOS 12.4.7, iOS 13.5 und iPadOS 13.5 als Sicherheitsupdates bereit, um die Schwachstellen zu beheben. Eine Gesamtübersicht der Schwachstellen, die mit diesen Programmversionen behoben werden, wird jeweils gesondert veröffentlicht.

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Ein entfernter Angreifer kann zwei Schwachstellen im Standard-Mailprogramm von Apple iOS ausnutzen, um beliebigen Programmcode auszuführen. Der Angreifer kann dadurch E-Mails lesen, ändern und löschen. Abhängig von der installierten Version des Betriebssystems kann die Ausnutzung der Schwachstellen eine Benutzerinteraktion erfordern.

Die Schwachstellen wurden von Sicherheitsforschern entdeckt und bisher von Apple noch nicht bestätigt. Die Informationen zu den Schwachstellen und die Bewertung der Schwachstellen in dieser Meldung beziehen sich auf die referenzierte Veröffentlichung von den Entdeckern der Schwachstellen ZecOps, die laut Eigenaussage in Kontakt mit Apple stehen und Patches für die Schwachstellen im Quellcode von iOS 13.4.5 Beta gefunden haben.

Die Schwachstellen betreffen die standardmäßig installierte Mail-Anwendung in iOS mindestens ab Version 6. macOS ist nicht betroffen. Bisher stehen noch keine Sicherheitsupdates zur Verfügung. Die Beta-Version von iOS 13.4.5 enthält allerdings bereits die notwendigen Patches (siehe Referenz). Da eine Beta-Version unbekannte Nebenwirkungen haben kann und vor allem in Produktionsumgebungen nicht eingesetzt werden sollte, ist der Workaround (siehe Workaround) vorzuziehen.

Schwachstellen:

CVE-2020-9818

Schwachstelle in MobileMail / maild für Apple iOS ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-9819