iOS 12.1 schließt 37 zum Teil schwerwiegende Sicherheitslücken

  • TIPP

  • mad.de
  • 317 Aufrufe 6 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • iOS 12.1 schließt 37 zum Teil schwerwiegende Sicherheitslücken

    Sie stecken in Komponenten wie Kernel, Safari und der Browser-Engine WebKit. Apple verbessert aber auch die Sicherheit der Bluetooth-Funktion. Außerdem verhindert das Update, dass Hacker die AppleID auslesen können.

    Apple hat zusammen mit dem gestern veröffentlichten Update auf iOS 12.1 auch 37 Sicherheitslücken in seinem Mobilbetriebssystem geschlossen. Einige der Anfälligkeiten sind als kritisch einzustufen, da sie das Einschleusen und Ausführen von Schadcode ermöglichen, unter Umständen sogar mit Kernelrechten.
    Einem Support-Artikel zufolge kann ein Fehler in der Auto-Unlock-Funktion dazu führen, dass schädliche Apps die AppleID des lokalen Nutzers auslesen. Zudem soll es in früheren iOS-Versionen möglich sein, den Bluetooth-Datenverkehr abzufangen.

    Die Komponenten Crash Reporter und IOMobileFrameBuffer sollen nun nicht mehr Anwendungen Zugriff auf Speicherinhalte ermöglichen. Das gilt auch für den Kernel, in dem zudem ein Speicherfehler steckte, der besagte Ausführung von Code mit Kernelrechten erlaubte.
    Darüber hinaus wurde ein Bug beseitigt, der dazu führte, dass ein Angreifer mit Zugriff auf ein iOS-Gerät gelöschte Nachrichten wiederherstellen konnte. Dasselbe Problem trat zuletzt auch bei der Notizen-App auf. Safari wiederum löschte den Browserverlauf nicht vollständig und gab Daten der Autofill-Funktion preis. Zudem soll nun ein Fehler in Safari der Vergangenheit angehören, der Spoofing-Angriffe ermöglichte.

    Die meisten Schwachstellen fanden Sicherheitsforscher in der Browser-Engine WebKit. Sie soll nach Installation des Updates auf iOS 12.1 nicht mehr Cross-Site-Scripting begünstigen und das Einschleusen und Ausführen von Schadcode erlauben. Zudem wurden sieben Use-after-free-Bugs in WebKit beseitigt, die sich ebenfalls für eine Remotecodeausführung eigneten.
    Entdeckt wurden die von Apple offengelegten Anfälligkeiten ausschließlich von externen Sicherheitsforschern, darunter Mitarbeiter von Googles Project Zero, Qihoo 360, der Pakistan Telecommunications Authority, dem britischen National Cyber Security Centre, Alibaba sowie mehreren unabhängigen oder anonymen Sicherheitsforschern, die zum Teil mit Trend Micros Zero Day Initiative zusammengearbeitet haben.

    Apple verteilt iOS 12.1 seit gestern Abend. Es steht für iPhone 5S und später, iPad Air und später sowie den iPod Touch der sechsten Generation zur Verfügung. Nutzer erhalten es Over-the-Air über die Updatefunktion des Betriebssystems oder mithilfe der Mediensoftware iTunes. Auch wenn Hackerangriffe auf iOS sehr selten sind, sollte das Update zeitnah installiert werden, um die Sicherheitslöcher zu stopfen.
    Unklar ist allerdings, ob iOS 12.1 nicht noch weitere, von Apple nicht erwähnte Schwachstellen behebt. Laut Ian Beer, Mitarbeiter von Googles Project Zero, informiert das Unternehmen aus Cupertino nicht stets umfassend über ausgelieferte Patches. So soll iOS 12 Fixes für mehrere kritische Bugs enthalten, die Beer entdeckt und Apple gemeldet hat. In den Sicherheitshinweisen für iOS 12 seien sie jedoch nicht erwähnt.

    Dieses Vorgehen nehme Nutzern die Möglichkeit, die Wichtigkeit von Sicherheitsupdates einzuschätzen, erklärte Beer. Das wiederum reduziere den Anreiz, Updates zeitnah zu installieren.

    Quelle: iOS 12.1 schließt 37 zum Teil schwerwiegende Sicherheitslücken | ZDNet.de
  • Sicherheitslücke bei Apple?
    iOS 12.1: Hacker wollen Entsperr-Code auf iPhone umgehen können
    Wie sicher ist das neue iOS 12.1? Laut Sicherheitsexperten gibt es eine Möglichkeit, die Code-Eingabe zum Entsperren des iPhones auszuhebeln.

    Wie jede Aktualisierung eines Betriebssystems soll auch iOS 12.1 eigentlich Verbesserungen der Sicherheit mitbringen. Doch wie The Hacker News berichtet, sei dies bei der jüngst veröffentlichten neuen Software für iPhone und iPad nur bedingt gelungen.

    So habe das jüngste Update für iOS (namentlich Version 12.1) weiterhin einen Bug in Bezug auf den Entsperrcode beim iPhone. Die Sicherheitsmaßnahme soll sich mit wenigen Schritten soweit umgehen lassen, dass ein Zugriff auf die Kontakte mit all ihren Informationen ermöglicht wird.

    Wie im Artikel von The Hacker News genauer beschrieben, gelingt der Zugang zum eigentlich gesperrten iPhone durch einen Anruf, der in einen FaceTime-Anruf umgewandelt wird. Der Trick funktioniere zum jetzigen Zeitpunkt auf allen aktuellen iPhone-Modellen, auch iPhone X und iPhone XS, sofern eben die neue iOS-Version 12.1 installiert ist.

    Eine Möglichkeit, die Sicherheitslücke selbst zu schließen, gebe es nicht. Nutzer müssten daher auf eine weitere Aktualisierung von iOS 12 durch Apple warten.

    31.10.2018 von Steve Buchta


    Quelle: iOS 12.1: Hacker wollen Entsperr-Code auf iPhone umgehen können - connect



    Sicherheitslücke: 500 Millionen Apple-Geräte stürzen ab
    Eine kritische Sicherheitslücke betrifft potenziell 500 Millionen Geräte. Deutsche IT-Forscher raten Nutzern von iOS 12 dringend, auf die Version 12.1 upzudaten.
    von pte, Florian Fügemann 01.11.2018

    Forscher der Technischen Universität Darmstadt haben eine Schwachstelle in Apples Betriebssystem iOS gefunden, die mehr als eine halbe Milliarde Geräte betrifft. Das soeben erschienene Update 12.1 behebt die Sicherheitslücke namens «CVE-2018-4368», über die Angreifer iPhones und iPads mit einer Standard-WLAN-Karte und einer für unter 23 Franken erhältlichen programmierbaren Platine ohne physischen Zugriff problemlos zum Abstürzen bringen können.

    Absturz ohne User-Interaktion

    Apple wirbt traditionell für nutzerfreundliche Funktionen, wie beispielsweise AirPlay, womit man kabellos und mit einem Klick von verschiedensten Apple-Geräten Musik oder Filme an kompatible Lautsprecher und Fernseher senden kann. Die Protokolle nutzen Erweiterungen wie Apple Wireless Direct Link (AWDL), das die direkte WLAN-Kommunikation zwischen Apple-Geräten ermöglicht. Doch die komfortablen Funktionen bergen auch Risiken, erklärt TU-Professor Matthias Hollick, Leiter des Secure Mobile Networking Labs.

    «AWDL nutzt verschiedene Funktechnologien. Vereinfacht gesagt, klingeln wir mittels Bluetooth LE Sturm und das Zielgerät aktiviert dadurch AWDL. In einem zweiten Schritt nutzen wir aus, dass Apple die Eingaben, die wir an das Zielgerät schicken, nicht vollständig sauber überprüft; das ermöglicht es uns, das Gerät mit unsinnigen Eingaben zu fluten. Im Ergebnis können wir dadurch das Zielgerät oder auch alle in der Nähe befindlichen Geräte gleichzeitig zum Absturz bringen. Dabei benötigen wir keinerlei Nutzerinteraktion.»

    Bluetooth-Brute-Force-Attacke

    Laut Hollicks Kollege Milan Stute sind für die Bluetooth-Brute-Force-Attacke nur eine WLAN-Karte eines handelsüblichen Laptops und ein BBC micro:bit, also ein preiswerter Bluetooth-fähiger Einplatinen-Computer, ähnlich einem Raspberry Pi oder Arduino, nötig. Potenzielle Angreifer hätten also leichtes Spiel. Das demonstrieren die Forscher in einem Video des – nach erfolgreich installiertem Update so nicht mehr möglichen – Angriffs. Reihenweise stürzen die Geräte ab, ohne dass die Forscher sie dafür auch nur einmal berühren mussten. (pressetext.com)

    Update: iOS 12.1 können Sie über die Einstellungen > Allgemein > Softwareupdate per sofort auf Ihr iPhone oder iPad herunterladen. Hier geht es zu den iOS 12.1 Release Notes (Deutsch).


    Quelle: Sicherheitslücke: 500 Millionen Apple-Geräte stürzen ab

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von HotPi () aus folgendem Grund: Erweitert um "Sicherheitslücke: 500 Millionen Apple-Geräte stürzen ab"

  • Schadcode per FaceTime-Anruf: Apple stopft kritische Lücke

    Allein durch einen Videoanruf lassen sich ungepatchte iPhones, iPads und Macs kapern – Demo-Exploits wurden nun veröffentlicht.

    Nutzer sollten dringend Apples jüngste Softwareaktualisierungen für iPhone, iPad und Mac einspielen, um sich vor einer gravierenden Schwachstelle in der integrierten FaceTime-Funktion zu schützen: Entfernte Angreifer sind nämlich in der Lage, allein durch einen Videoanruf Schadcode auf den Geräten einzuschleusen. Die Schwachstellen stecken in der Speicherverwaltung von Apples VoIP-Dienst, wie die für Googles Project Zero tätige Sicherheitsforscherin Natalie Silvanovich bemerkte.

    Kernel Panic durch Facetime-Anruf
    Durch ein präpariertes RTP-Paket lässt sich FaceTime zum Beispiel so durcheinanderbringen, dass das iPhone mit einer Kernel Panic abstürzt, wie die Hackerin in ihrem Bug-Report erklärt. Dies könne dazu führen, "dass Code willkürlich ausgeführt wird", wie Apple in den Sicherheitsdetails zu iOS 12.1 anmerkt. Silvanovich hat inzwischen Beispiel-Exploits veröffentlicht, mit denen sich ungepatchte iPhones, iPads und Macs per FaceTime-Anruf "abschießen" lassen. Bösartige Angreifer könnten die bislang harmlosen Exploits nun erweitern und zum Einschleusen von Schadcode verwenden.

    Die Schwachstelle erinnert nicht durch Zufall an eine kritische Sicherheitslücke in WhatsApp, die Anfang Oktober gestopft wurde: Der ebenso von Silvanovich bemerkte Fehler in der Speicherverwaltung der populären Messaging-App erlaubte auch das Einschleusen von Schadcode mit Hilfe manipulierter RTP-Pakete.

    Sicherheits-Updates von Apple für iOS und macOS
    Apple hat die Speicherfehler in FaceTime sowie AppleAVD in der vergangenen Woche mit iOS 12.1 und macOS 10.14.1 Mojave beseitigt, watchOS 5 scheint nicht betroffen. Auch für macOS 10.13 High Sierra und 10.12 Sierra bietet Apple Sicherheits-Updates an, die die Schwachstellen auf älteren Macs ausräumen. Für iOS 11 oder älter liegt kein Update vor, Sicherheits-Updates für ältere iOS-Versionen sind eine absolute Seltenheit. Nutzer können sich hier wohl schützen, indem sie FaceTime auf ihrem Gerät deaktivieren.

    Quelle: Schadcode per FaceTime-Anruf: Apple stopft kritische Lücke |
    Mac & i
  • iOS 12.1.1: Apple bessert nach und räumt schwere Sicherheitslücken aus

    Das Betriebssystem-Update verbessert FaceTime auf dem iPhone, bringt Funktionsneuerungen und beseitigt Schwachstellen. Apple hat auch macOS aktualisiert.

    Apple hat iOS 12.1.1 für iPhone, iPad und iPod touch zum Download freigegeben. Das System-Update bringt FaceTime-Funktionen zurück, die der Neuauflage des VoIP-Dienstes mit iOS 12.1 zum Opfer gefallen waren: Nutzer können nun wieder Live-Fotos von Videotelefonaten machen sowie durch Antippen des Bildschirms zwischen vorder- und rückseitiger Kamera wechseln. Stummschaltung und Kamerawechsel-Button sind in der neuen iOS-Version wieder direkt verfügbar und nicht länger im Menü versteckt.

    iOS 12.1.1 erweitert außerdem die Haptic-Touch-Funktionen des iPhone XR: Kurzes Gedrückthalten einer Nachricht im Sperrbildschirm oder in der Mitteilungszentrale blendet eine größere Ansicht ein, die beispielsweise das sofortige Beantworten von WhatsApp-Nachrichten ermöglicht – ohne dafür erst die App öffnen zu müssen.

    iOS 12.1.1 soll kleinere Probleme beseitigen
    Neu ist außerdem Unterstützung für die Bedienungshilfe Real-Time-Text (RTT) bei WLAN-Telefonaten und erweiterte Informationen in der Bildschirmzeit, die nun auch offenlegen, welche Apps man nach dem Entsperren des Gerätes als erstes nutzt. Das Update soll außerdem Probleme ausräumen, darunter eine "temporäre" Nichtverfügbarkeit von Face ID, ein Fehlschlagen des Downloads von Sprachmitteilungen aus Visual Voicemail sowie Schwierigkeiten beim Upload von Sprachmemos auf iCloud.

    Das Update baut außerdem die eSIM-Unterstützung neuer iPhones für weitere Mobilfunkanbieter in verschiedenen Ländern aus, darunter Swisscom und Sunrise in der Schweiz. O2 wird von Apple derzeit weiterhin nicht als unterstützter eSIM-Partner geführt.

    Apple schließt gravierende Schwachstellen
    Das System-Update räumt nach Apples bisherigen Angaben außerdem 20 Schwachstellen aus, darunter gravierende Sicherheitslücken in Safari, das das Ausführen von Schadcode allein durch Aufruf einer Webseite ermöglichen.

    Auch Apps sind theoretisch in der Lage, beliebigen Code mit Kernel-Rechten auszuführen, wie Apple aufführt – dies soll iOS 12.1.1 ebenfalls verhindern. Eine Sperrbildschirm-Schwachstelle, die Kontakte enthüllt, wurde ebenfalls beseitigt.

    Updates auch für macOS, tvOS und HomePod
    Neben iOS 12.1.1 hat Apple macOS Mojave in Version 10.14.2 freigegeben. Das Update integriert ebenfalls die Unterstützung für RTT bei WLAN-Telefonaten und soll ein Problem ausräumen, durch das die Wiedergabe von iTunes-Inhalten über AirPlay-Lautsprecher von Dritt-Hersteller fehlschlagen konnte.

    Die bereits erwähnten, gravierenden Sicherheitslücken im Browser Safari hat Apple mit einem Update der Mac-Version (12.0.2) ausgebessert – Nutzer sollten dies umgehend installieren.
    macOS 10.14.2 räumt zudem weitere Schwachstellen aus, parallel hat Apple Sicherheits-Updates für macOS 10.13 High Sierra und macOS 10.12 Sierra veröffentlicht.
    Zusätzlich liegen kleinere Bugfix-Updates für Apple TV (tvOS 12.1.1) und HomePod (12.1.1) vor, ein Update für die Apple Watch steht noch aus.

    Quelle: iOS 12.1.1: Apple bessert nach und räumt schwere Sicherheitslücken aus |
    Mac & i
  • Das iOS-Update 12.1.1 hat ein ärgerliches Problem im Gepäck
    Falls Sie das neuste iOS-Update noch nicht installiert haben: Darum sollten Sie sich das gut überlegen.
    von Claudia Maag 11.12.2018

    Vergangene Woche hatte Apple das Update für iOS 12.1.1 ausgerollt (PCtipp berichtete). Zahlreiche iPhone-Nutzer raten jedoch von der Aktualisierung ab, wie futurezone.at berichtet.

    Apple iOS 12.1.1 has one serious problem but should that stop you upgrading? It depends which device you have...

    Auf Twitter diskutieren User darüber, dass seit dem Update ihre mobile Datenverbindung nicht mehr funktioniere:

    Wie Gordon Kelly auf forbes.com schreibt, ist der einzige Weg derzeit für die iPhone-Nutzer, über WLAN online zu gehen. Der Bericht stützt sich auf etliche Nutzermeldungen. Diese reichen von Teilfunktionen mit mobilen Daten, die im Browser, aber nicht in Apps arbeiten, bis hin zum vollständigen 4G-Datenfehler. Forbes zufolge variiert dies von Land zu Land.

    Apple hat sich zum Fehler bislang nicht geäussert. Unklar ist ausserdem, wie gross das Problem wirklich ist. Besonders ärgerlich: Dieser Fehler war bereits durch iOS-12.1.1-Beta-Tester festgestellt und auf Twitter dem Apple-Support mitgeteilt worden. Dennoch wurde der Bug in die offizielle Version übernommen.


    Quelle: Das iOS-Update 12.1.1 hat ein ärgerliches Problem im Gepäck
  • Apple hat iOS-Update 12.1.2 für iPhones veröffentlicht
    Das Update soll Probleme mit der Aktivierung der eSIM beheben.
    von Claudia Maag 19.12.2018

    Apple hat kürzlich das iOS-Update 12.1.2 veröffentlicht. Es kommt nur zwei Wochen nach der Veröffentlichung von iOS 12.1.1 und laut macrumors.com nur eine Woche, nachdem Apple die erste iOS-12.1.2-Beta-Version für Entwickler freigegeben hat.

    Laut Apples Versions-Informationen ist iOS 12.1.2 ein Bugfix-Update, welches Fehlerbehebungen für das iPhone enthält. Es behebt Folgendes:
    • Probleme mit der Aktivierung der eSIM bei iPhone XR, iPhone XS und iPhone XS Max
    • Ein Problem mit Mobilfunkverbindungen in der Türkei bei iPhone XR, iPhone XS und iPhone XS Max


    Quelle: Apple hat iOS-Update 12.1.2 für iPhones veröffentlicht
  • Apple rollt endlich iOS-Update aus: iPhone-User klagen jetzt über neue Probleme

    Apple wollte mit dem iOS-Update 12.1.2 eigentlich Netzwerkprobleme lösen. Doch offenbar verschlimmert das Update diese nur. Weltweit klagen User über massive Störungen. Mit diesen Tipps verbinden Sie betroffene Geräte wieder mit dem Internet.

    Finger weg von iOS 12.1.2 - dieses Update von Apple sorgt für Probleme
    Eigentlich sollte das aktuelle iOS-Update 12.1.2 neben Problemen mit der eSim vor allem Verbindungsprobleme von Apple iPhone-Geräten in der Türkei beheben. Diese wurden durch die Vorgänger-Version iOS 12.1.1 hervorgerufen.
    Anstatt das Problem zu lösen, hat das Update zu iOS 12.1.2 die Situation verschärft. Nun klagen zwar User in der Türkei nicht mehr über das Problem – dafür kommt es weltweit zu Ausfällen bei der Internetverbindung.

    @AppleSupport iOS 12.1.2 update has resulted in my phone being unable to use LTE data. Apps say that there's no
    internet. Help!
    — Hunt (@mi_hunt) 24. Dezember 2018

    Ausfall des Internets durch Apples iOS 12.1.2 - besser erst einmal nicht installieren
    Wie allzu oft äußert sich Apple bisher nicht zu den Meldungen. Allerdings arbeitet der Konzern wohl bereits an einem Nachfolge-Update - ein Standardprozedere. Vermutlich soll es schon bald ausgerollt werden, um die Verbindungsprobleme endgültig aus der Welt zu schaffen.
    CHIP rät: Laden Sie das Update 12.1.2. vorerst nicht runter. Zumindest nicht bis eine Lösung für die auftretenden Probleme gefunden wurde.

    So kann das Problem mit dem Update iOS 12.1.2 vorübergehend gelöst werden!
    Sie haben das aktuelle Update iOS 12.1.2 bereits heruntergeladen und nun keine Internetverbindung mehr?
    So können Sie das Problem mit der Konnektivität vorübergehend beheben:
    1. Einstellungen öffnen und auf "Mobiles Netz" gehen
    2. WLAN-Anrufe auf Aus stellen
    3. Gehen Sie auf "Datenoptionen", wählen Sie dann "4G aktivieren" oder "LTE aktivieren" und stellen Sie diese Option auf "Nur Daten".

    Quelle: Apple rollt endlich iOS-Update aus: iPhone-User klagen jetzt über neue Probleme - CHIP