Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1764

[Apple/iOS Mail] UPDATE: Schwachstelle in Apple Mail - Patch verfügbar
(2020-05-27 21:45:58.039549+00)

Quelle: https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/

Es existieren zwei unabhängige Schwachstellen im Standard-Mailprogramm von Apple iOS, die einem entfernten Angreifer erlauben, beliebigen Programmcode auf dem Gerät auszuführen. Dabei ist aktuell unklar, ob dieser Code nur im Rahmen des Programmkontextes von MobileMail/maild oder mit Systemrechten ausgeführt werden kann.
Update: Es sind nun neue Versionen der betroffenen Betriebsysteme verfügbar, die die Schwachstellen beheben und unverzüglich installiert werden sollten.

Inhalt

Zusammenfassung

Betroffene Systeme

Standard-Mailprogramm AppleMail auf iOS in den Betriebssystemversionen iOS 6-13

Nicht betroffene Systeme

MacOS

Angriffsvoraussetzung

Für einen erfolgreichen Angriff muss eine entsprechend präparierte Mail heruntergeladen (iOS 13) oder geöffnet (iOS 12) werden.

Gefahrenpotential

unklar

Beschreibung

Es existieren zwei unabhängige Schwachstellen im Standard-Mailprogramm von Apple iOS, die einem entfernten Angreifer erlauben, beliebigen Programmcode auf dem Gerät auszuführen. Dabei ist aktuell unklar, ob dieser Code nur im Rahmen des Programmkontextes von MobileMail/maild oder dem kompletten System ausgeführt werden kann.

Der Angreifer kann dadurch auf jeden Fall E-Mails lesen, ändern und löschen. Ob hierfür eine Nutzerinteraktion nötig ist, hängt von der Version des installierten Betriebssystems ab.

Laut den Entdeckern der Sicherheitslücke wurde diese bereits aktiv ausgenutzt; Apple bestreitet die aktive Ausnutzung, jedoch nicht die Existenz der Schwachstelle.

Bisher existiert noch kein offizieller Patch. Bis zum Erscheinen des Patches empfehlen wir daher, auf iOS-Geräten einen anderen Mail-Client zu nutzen.
UPDATE: Apple stellt am 2020-05-26 neue Versionen der betroffenen Betriebssystemversionen bereit, die die Schwachstelle beheben.

Workaround

Solange kein Patch existiert, empfehlen wir allen iOS-Nutzer, den Standard-Mailclient von iOS zu deaktiveren und Mails mit einem anderen Programm oder über den Webbrowser zu lesen.

Gegenmaßnahmen

Apple stellt neue Versionen der betroffenen Betriebsysteme bereit, die die Schwachstellen beheben.

Vulnerability ID

Weitere Information zu diesem Thema

Exploit Status

Unklar: Laut den Entdeckern der Schwachstelle von Zecops gibt es eine aktive Ausnutzung der Schwachstelle von professionellen Angreifern, Apple bestreitet dies jedoch.

Revisionen dieser Meldung



(vw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1764