[Apple/iOS Mail] UPDATE: Schwachstelle in Apple Mail - Patch verfügbar
(2020-05-27 21:45:58.039549+00)
Quelle:
https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/Es existieren zwei unabhängige Schwachstellen im Standard-Mailprogramm von Apple iOS, die einem entfernten Angreifer erlauben, beliebigen Programmcode auf dem Gerät auszuführen. Dabei ist aktuell unklar, ob dieser Code nur im Rahmen des Programmkontextes von MobileMail/maild oder mit Systemrechten ausgeführt werden kann.
Update: Es sind nun neue Versionen der betroffenen Betriebsysteme verfügbar, die die Schwachstellen beheben und unverzüglich installiert werden sollten.
Inhalt
- Zusammenfassung
- Betroffene Systeme
- Angriffsvoraussetzung
- Gefahrenpotential
- Beschreibung
- Workaround
- Gegenmaßnahmen
- Vulnerability ID
- Exploit Status
- Weitere Information zu diesem Thema
- Revisionen dieser Meldung
Zusammenfassung
| Betroffen: | Apple-Mail (Standard-Mailprogramm auf iOS) |
| Plattform: | Apple iOS Versionen 6-13 |
| Angriffsvoraussetzung: | Versenden einer speziell präparierten Mail |
| Angriffsvektorklasse: | remote |
| Auswirkung: | Ausführung von beliebigem Programmcode |
| Typ: | RCE |
| Gefahrenpotential: | unklar |
| Workaround: | Nutzung eines anderen Mailclients |
| Gegenmaßnahmen: | neue Betriebsystemversion installieren |
| Vulnerability ID: | CVE-2020-9818, CVE-2020-9819 |
| Revision dieser Meldung: | V 2.0 |
Betroffene Systeme
Standard-Mailprogramm AppleMail auf iOS in den Betriebssystemversionen iOS 6-13Nicht betroffene Systeme
MacOSAngriffsvoraussetzung
Für einen erfolgreichen Angriff muss eine entsprechend präparierte Mail heruntergeladen (iOS 13) oder geöffnet (iOS 12) werden.Gefahrenpotential
unklarBeschreibung
Es existieren zwei unabhängige Schwachstellen im Standard-Mailprogramm von Apple iOS, die einem entfernten Angreifer erlauben, beliebigen Programmcode auf dem Gerät auszuführen. Dabei ist aktuell unklar, ob dieser Code nur im Rahmen des Programmkontextes von MobileMail/maild oder dem kompletten System ausgeführt werden kann.
Der Angreifer kann dadurch auf jeden Fall E-Mails lesen, ändern und löschen. Ob hierfür eine Nutzerinteraktion nötig ist, hängt von der Version des installierten Betriebssystems ab.
Laut den Entdeckern der Sicherheitslücke wurde diese bereits aktiv ausgenutzt; Apple bestreitet die aktive Ausnutzung, jedoch nicht die Existenz der Schwachstelle.
Bisher existiert noch kein offizieller Patch. Bis zum Erscheinen des Patches empfehlen wir daher, auf iOS-Geräten einen anderen Mail-Client zu nutzen.
UPDATE: Apple stellt am 2020-05-26 neue Versionen der betroffenen Betriebssystemversionen bereit, die die Schwachstelle beheben.
Workaround
Solange kein Patch existiert, empfehlen wir allen iOS-Nutzer, den Standard-Mailclient von iOS zu deaktiveren und Mails mit einem anderen Programm oder über den Webbrowser zu lesen.
Gegenmaßnahmen
Apple stellt neue Versionen der betroffenen Betriebsysteme bereit, die die Schwachstellen beheben.Vulnerability ID
Weitere Information zu diesem Thema
Exploit Status
Unklar: Laut den Entdeckern der Schwachstelle von Zecops gibt es eine aktive Ausnutzung der Schwachstelle von professionellen Angreifern, Apple bestreitet dies jedoch.Revisionen dieser Meldung
- V 1.0 (2020-04-24)
- V 2.0 (2020-05-27)
- Beschreibung aktualisiert
- Gegenmaßnahmen aktualisiert
- CVE-Nummern hinzugefügt
(vw)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1764