2021-1918: Apple iOS, iPadOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-09-14 11:39)
- Neues Advisory
- Version 2 (2021-09-21 14:06)
- Apple hat den Sicherheitshinweis HT212807 aktualisiert und weitere Schwachstellen als behoben aufgeführt. Mehrere dieser Schwachstellen ermöglichen einem Angreifer aus der Ferne, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen. Zwei weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
- Version 3 (2021-10-27 17:35)
- Apple hat den Sicherheitshinweis HT212807 aktualisiert und führt weitere Schwachstellen als behoben auf. Mehrere dieser Schwachstellen ermöglichen einem Angreifer aus der Ferne Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen. Zwei weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen und beliebigen Programmcode auszuführen.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Hardware
Apple
Beschreibung:
Ein Angreifer kann jeweils eine Schwachstelle in WebKit und CoreGraphics aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.
Für die erfolgreiche Ausnutzung der Schwachstellen benötigt ein Angreifer keine Privilegien, ist aber in beiden Fällen auf die Interaktion eines Benutzers angewiesen.
Apple veröffentlicht für iPhone 6s und später, iPad Pro (alle Modelle), iPad Air 2 und später, iPad fünfte Generation und später, iPad mini 4 und später sowie iPod touch siebte Generation die iOS und iPadOS Version 14.8 als Sicherheitsupdate, um die Schwachstellen zu beheben. Beide Schwachstellen werden aktuell bereits für Angriffe ausgenutzt.
In der National Vulnerability Database (NVD) werden die hier referenzierten Schwachstellen-IDs derzeit als 'zurückgewiesen' (REJECTED) geführt.
Schwachstellen:
CVE-2013-0340
Schwachstelle in Expat ermöglicht Denial-of-Service-AngriffCVE-2021-30818
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-30820
Schwachstelle in Bluetooth ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-30823
Schwachstelle in WebKit ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-30834
Schwachstelle in CoreAudio ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2021-30836
Schwachstelle in WebKit ermöglicht Ausspähen von InformationenCVE-2021-30841 CVE-2021-30842 CVE-2021-30843
Schwachstellen in FontParser ermöglichen Ausführen beliebigen ProgrammcodesCVE-2021-30846 CVE-2021-30848 CVE-2021-30849
Schwachstellen in WebKit ermöglichen Ausführen beliebigen ProgrammcodesCVE-2021-30847
Schwachstelle in ImageIO ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-30852
Schwachstelle in Foundation ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-30855
Schwachstelle in Preferences ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2021-30857
Schwachstelle in Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-30858
Schwachstelle in WebKit ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-30859
Schwachstelle in Kernel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-30860
Schwachstelle in CoreGraphics ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.