2020-2432: Apple iOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-11-06 09:59)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, wenn er einen Benutzer von iOS zur Verarbeitung speziell präparierter Schriftarten verleiten kann. Darüber hinaus kann der Angreifer in einem FaceTime-Gruppenanruf die Videodaten eines Benutzers ohne dessen Zustimmung sehen. Zwei weitere Schwachstellen ermöglichen es dem Angreifer, mit Hilfe speziell präparierter Anwendungen lokal beliebigen Programmcode mit Kernelprivilegien auszuführen oder Informationen aus dem Kernelspeicher auszuspähen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Mit Ausnahme der Schwachstelle in FaceTime erfordern alle Schwachstellen die Interaktion eines Benutzers.

Apple veröffentlicht iOS 12.4.9 zur Behebung der Schwachstellen. Drei der Schwachstellen werden bereits in gezielten Angriffen ausgenutzt.

Schwachstellen:

CVE-2020-27929

Schwachstelle in FaceTime ermöglicht Ausspähen von Informationen

CVE-2020-27930

Schwachstelle in FontParser ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-27932

Schwachstelle in Kernel ermöglicht Ausführung beliebigen Programmcodes mit erweiterten Privilegien

CVE-2020-27950

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.