2021-1965: Apple iOS, Apple iPadOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-09-21 13:28)

Neues Advisory

Version 2 (2021-10-27 17:41)

Apple hat den Sicherheitshinweis HT212814 aktualisiert und weitere Schwachstellen als behoben aufgeführt. Mehrere dieser Schwachstellen ermöglichen einem Angreifer aus der Ferne beliebigen Programmcode auszuführen und Informationen auszuspähen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um beliebigen Programmcode auszuführen, Dateien zu manipulieren und Informationen auszuspähen. Zudem kann sowohl ein Angreifer im benachbarten Netzwerk als auch ein Angreifer mit physischen Zugriff auf das betroffene System je eine Schwachstellen ausnutzen, um Informationen auszuspähen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. NVD (National Vulnerability Database) führt zur Zeit mehrere der Schwachstelle als 'zurückgewiesen' (REJECTED).

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Apple

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle im benachbarten Netzwerk ausnutzen, um falsche Informationen darzustellen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, beliebigen Programmcode mit den Rechten des Administrators auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann zwei Schwachstellen ausnutzen, um Informationen auszuspähen und Sicherheitsvorkehrungen zu umgehen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers und die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Apple informiert über die Schwachstellen und veröffentlicht Apple iOS 15 und iPadOS 15 als Sicherheitsupdates, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2013-0340

Schwachstelle in expat ermöglicht Denial-of-Service-Angriff

CVE-2021-30809

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-30810

Schwachstelle in Wi-Fi ermöglicht Darstellen falscher Informationen

CVE-2021-30811

Schwachstelle in AppleMobileFileIntegrity ermöglicht Ausspähen von Informationen

CVE-2021-30814

Schwachstelle in ImageIO ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-30815

Schwachstelle in Siri ermöglicht Ausspähen von Informationen

CVE-2021-30816

Schwachstelle in FaceTime ermöglicht Ausspähen von Informationen

CVE-2021-30818

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-30819

Schwachstelle in Model I/O ermöglichen Ausspähen von Informationen

CVE-2021-30825

Schwachstelle in CoreML ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-30826

Schwachstelle in Telephony ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-30831

Schwachstelle in FontParser ermöglicht Ausspähen von Informationen

CVE-2021-30835 CVE-2021-30847

Schwachstellen in ImageIO ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-30836

Schwachstelle in WebKit ermöglicht Ausspähen von Informationen

CVE-2021-30837

Schwachstelle in Accessory Manager ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2021-30838

Schwachstelle in Apple Neural Engine ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2021-30840

Schwachstelle in FontParser ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-30841 CVE-2021-30842 CVE-2021-30843

Schwachstellen in FontParser ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-30846 CVE-2021-30848 CVE-2021-30849

Schwachstellen in WebKit ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-30851

Schwachstelle in WebKit ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-30852

Schwachstelle in Foundation ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-30854

Schwachstelle in Preferences ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-30855

Schwachstelle in Preferences ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-30857

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-30863

Schwachstelle in Face ID ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-30866

Schwachstelle in bootp ermöglicht Ausspähen von Informationen

CVE-2021-30867

Schwachstelle in iCloud Photo Library ermöglicht Ausspähen von Informationen

CVE-2021-30870

Schwachstelle in Quick Look ermöglicht Ausspähen von Informationen

CVE-2021-30874

Schwachstelle in NetworkExtension ermöglicht Manipulation von Dateien

CVE-2021-30884

Schwachstelle in WebKit ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.