• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Es regnet, ist neblig und kalt, alle sind krank und der Chef wird zunehmend cholerisch. Das Thema des Monats ist also folgerichtig --> Das Grau(en)
    Wir sind gespannt, war Euch dazu einfällt! Zum Wettbewerb --> Klick
  • Auch in diesem Jahr möchten wir auf unserer Webseite mit einem passenden Banner etwas weihnachtliche Stimmung verbreiten. Jeder Apfeltalker kann, darf und sollte uns einen Banner-Entwurf zusenden, wie und wo das geht, könnt Ihr hier nachlesen --> Klick

Project Zero deckt schwere iOS Sicherheitslücke auf

Jan Gruber

Chefredakteur Magazin und Podcasts
AT Administration
AT Redaktion
Registriert
01.11.16
Beiträge
15.030
Project Zero deckt schwere iOS Sicherheitslücke auf
Sicherheit-Security-Fehler-Bug-1-700x401.jpg



Das Project Zero Sicherheitsteam von Google hat dieser Tage eine schwerwiegende Sicherheitslücke in iOS aufgedeckt. Die Wogen kochten schnell hoch, noch sind die Auswirkungen unklar. Eines ist gewiss: Es handelt sich um einen schweren Fehler der seit Jahren ausgenutzt wird.

Mithilfe einer äußerst komplexen Kette aus Exploits, unter Ausnutzung etlicher Bugs in Safari, im Kernel und mit mehreren Sandbox-Escapes, konnten Angreifer Schadsoftware auf den betroffenen Geräten platzieren. Laut Project Zero-Forscher Ian Beer sollen die Angreifer so nahezu vollständig freie Hand über die Hardware gehabt haben. Es handelt sich um eine sogenannte Drive-By-Attacke, der Exploit wurde über den Besuch infizierter Internetseiten aufgespielt.
Project Zero findet Zero Day


Die dafür verantwortlichen Sicherheitslücken wurden in iOS 10, 11 und 12 gefunden. Apple habe auf Googles Meldung hin mit dem iOS Update 12.1.4 reagiert, Project Zero hatte eine Patch-Deadline von sieben Tagen gestellt.
Was der Exploit bewirken konnte


Nach erfolgreicher Infizierung stand das iOS Gerät komplett offen. So können verschlüsselte Nachrichtendatenbanken, wie jene von iMessage, an externe Server übertragen werden, gleiches gilt für die Kontaktdatenbank. Besonders kritisch: Selbst der Schlüsselbund (und alle darin gespeicherten Passwörter) waren übertragbar. Ein kleiner Lichtblick: Die Schadsoftware soll einen Reboot nicht überleben. Dazu musste eine infizierte Webseite erneut besucht werden.

Via Google Project Zero
 

Ph03n1x97

Cox Orange
Registriert
16.09.17
Beiträge
100
Das habe ich bereits vor einer halben Woche mit mehr Hintergrundinformationen auf anderen Plattformen gelesen. Schade, dass die Qualität der eigentlichen News-Artikel abnimmt und „Im Angebot“ und weiterer Kleinkram das Magazin dominieren.
 

MACaerer

Charlamowsky
Registriert
23.05.11
Beiträge
13.008
Mittlerweile ist doch bereits die iOS-Version 12.4 aktuell. Oder war das oben ein Zahlendreher und es müsste 12.4.1 anstelle 12.1.4 heißen?
 

Jan Gruber

Chefredakteur Magazin und Podcasts
AT Administration
AT Redaktion
Registriert
01.11.16
Beiträge
15.030
Das habe ich bereits vor einer halben Woche mit mehr Hintergrundinformationen auf anderen Plattformen gelesen. Schade, dass die Qualität der eigentlichen News-Artikel abnimmt und „Im Angebot“ und weiterer Kleinkram das Magazin dominieren.

Und auf vielen wirst du es deutlich später lesen. Es war sowas wie Wochenende und wir sind kein großes Magazin mit Online-Outlet, Newsroom und stark besetzter und bezahlter Redaktion ;) Zudem springen wir auch aus eigener Entscheidung heraus nicht auf jedes Thema sofort rauf, sondern lassen es mal etwas runterkochen, um "im Hype falsche Berichterstattung" zu vermeiden. Ich hab auch was von Millionen infizierten Geräten am WE gelesen. Ohne Belege. Das wurde dann überall korrigiert.

Mittlerweile ist doch bereits die iOS-Version 12.4 aktuell. Oder war das oben ein Schreibfehler und müsste 12.4.1 heißen?

Ne, ist schon etwas her dass das geschlossen wurde.
 
  • Like
Reaktionen: Salud und echo.park

MACaerer

Charlamowsky
Registriert
23.05.11
Beiträge
13.008
Ach so, das ist schon eine etwas ältere Geschichte. Aber dein Beitrag ist von heute, daher hat mich das etwas verwirrt. Übrigens gibt es tatsächlich aktuell ein Software-Update auf iOS 12.4.1
 

Ph03n1x97

Cox Orange
Registriert
16.09.17
Beiträge
100
Ach so, das ist schon eine etwas ältere Geschichte. Aber dein Beitrag ist von heute, daher hat mich das etwas verwirrt. Übrigens gibt es tatsächlich aktuell ein Software-Update auf iOS 12.4.1
Die Sicherheitslücke ist erst kürzlich öffentlich kommuniziert worden, weil die Analyse der Angriffe mit hohem Aufwand verbunden war.
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Das Update kam im Februar, eine Woche nach Bekanntwerden der Lücke. Erst jetzt wurde die passende Malware publik.
 

Mitglied 105235

Gast
Google hat Apple auch nur 7 Tage Zeit geben. Diese Information hat es sogar in den Artikel hier her geschafft.
 

Jan Gruber

Chefredakteur Magazin und Podcasts
AT Administration
AT Redaktion
Registriert
01.11.16
Beiträge
15.030
Die Info an Apple ging im Februar. Sieben Tage Frist. Sie haben ein Update gemacht. Öffentlich, inklusive der passenden Ausnützung der Lücke, wurde sie Ende letzter Woche. Soweit mein Wissensstand
 

Jan Gruber

Chefredakteur Magazin und Podcasts
AT Administration
AT Redaktion
Registriert
01.11.16
Beiträge
15.030
Hab sowas heute in nem amerikanischen Medium auch schon gelesen ,... und mal absichtlich raus gelassen. Ist mir alles etwas zu sehr "Hörensagen". Anscheinend wurde der Exploit (auch?) auf chinesischen Seiten genutzt
 

doc_holleday

Signe Tillisch
Registriert
14.01.12
Beiträge
13.411

Mitglied 105235

Gast
Das ändert nichts an meiner Aussage. Der Fix kam in unter einer Woche. So oder so. :D
Deine Aussage klingt aber als müsste dafür Apple gelobt werden. Ohne die frist wäre der fix aber eventuell nicht so schnell gekommen. Denn wie wichtig dass für Apple ist sehen wir ja an iOS 10 und 11.

Im Februar ist 12.1.4 gekommen. Und im Juli erst ein Sicherheitspatch für 10, sein wir mal nett und behaupten Apple hat da diese Lücken geschlossen. Was ist aber mit iOS 11?

Selbst iOS 9 hat im Juli ein Sicherheitspatch bekommen. Aber 11 bis heute noch nicht.

edit
Zahlendreher korrigiert
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: echo.park

frostdiver

Zwiebelapfel
Registriert
19.06.12
Beiträge
1.293
Die Juli-Updates für iOS 9 und 10 waren keine Sicherheitsupdates, sondern nur GPS-Bug-Fixes.
Und ein Update für iOS 11 gab es nicht dieses Jahr.
 

Marcel Bresink

Filippas Apfel
Registriert
28.05.04
Beiträge
8.876
Jedoch listet Apple sie unter ihren Sicherheitsupdates auf.

… mit dem ausdrücklichen Vermerk, dass diese Updates keine sicherheitsrelevanten Komponenten enthalten.

Nur iOS-Geräte mit eingebautem GPS-Empfänger konnten diese Updates laden und außer dem Datumsüberlauf bei GPS werden keine anderen Fehler korrigiert.
 

AC1

Meraner
Registriert
10.07.14
Beiträge
225
Hm, Apple reagiert auf eine lange bestehende und fatale Sicherheitslücke schnell und alles freut sich … Finde den Fehler!
 

Cohni

Ananas Reinette
Unvergessen
Registriert
04.08.11
Beiträge
6.206
Hm, Apple reagiert auf eine lange bestehende und fatale Sicherheitslücke schnell und alles freut sich … Finde den Fehler!
Habe ihn gefunden! Apple hätte langsam reagieren müssen und alles ärgert sich...:p

Aber im Ernst. Wie soll denn Apple auf eine Sicherheitslücke reagieren, die sie nicht kennen? Oder was meinst Du genau? Dass es die Lücke überhaupt gab? Willkommen in der Welt der Software...;)
 

Jan Gruber

Chefredakteur Magazin und Podcasts
AT Administration
AT Redaktion
Registriert
01.11.16
Beiträge
15.030
Ich finde keinen Grund zur Freude noch mich zu ärgern, wenn ich ehrlich bin. Sie haben schnell reagiert - und das müssen sie auch. Sie haben ihren Job gemacht. Fehler darf man machen, man muss sie dann auch schnell ausbessern.

Was mich nur deutlich mehr interessiert - und da bin ich dran es zu recherchieren - ob und wo die Fehler jetzt noch bestehen. Wenn alte OS Versionen da noch offen sind ist es Wahnsinn ,...