Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple beschwichtigt: Kritische Mail-Sicherheitslücke angeblich nicht gefährlich

Sicherheitsforscher hatten vor wenigen Wochen Apple darauf hingewiesen, dass sich iPhone und iPad durch präparierte E-Mails angreifen lassen. Der Nutzer bekommt davon nichts mit, denn es wird ein seit iOS 13 eingeführtes Verhalten ausgenutzt. Zwar bestand die Sicherheitslücke schon mit iOS 6, erst iOS 13 lädt und dekodiert E-Mails allerdings automatisch im Hintergrund. Besagten Sicherheitsforschern liegen eindeutige Hinweise vor, dass es sich nicht nur um ein theoretisches Problem handelt – demnach setzen Hacker bereits auf die Lücke und verschicken dementsprechend manipulierte Mails. Apple behob die Sicherheitslücke in der ersten Entwicklerversion von iOS 13.4.5, die vor drei Wochen erschienen war. Allerdings gibt es noch immer kein Update für alle Nutzer.


Apple nimmt Stellung – und widerspricht
Auf die Frage, warum Apple so lange mit dem Update wartete und nicht längst schon einen Fix veröffentlichte, gibt es nun Mark Gurman von Bloomberg gegenüber eine Stellungnahme. Apple zufolge nehme man zwar alle Berichte über Sicherheitsgefährdungen ernst, im aktuellen Fall kam man aber zu einer anderen Erkenntnis als die Forscher. Es gebe demnach keinerlei Hinweise, dass die Lücke zum Schaden der Anwender ausgenutzt werde – womit Apple den Angaben eindeutig widerspricht.

Dem Sicherheitsspezialisten ZecOps hatte mehrere Angriffsziele aufgeführt und sprach ohne Nennung der Namen von Vertretern großer Unternehmen, japanische Manager, einen Prominenten aus Deutschland, Sicherheitsnetze in Saudi-Arabien und Israel sowie einen europäischen Journalisten.

In der Tat handle es sich laut Apple um drei Sicherheitslücken, welche bald auch geschlossen werden – keine davon reiche aber aus, um die Sicherheit des iPhones oder iPads zu kompromittieren. Trotz allem ist angesichts der aktuellen Berichterstattung wohl davon auszugehen, dass Apple die Freigabe des Updates nun beschleunigt und nicht mehr viel Zeit bis zur Aktualisierung vergeht.
Das iPhone 16 lässt sich ab sofort vorbestellen (Aktualisierung)
Das iPhone 16 lässt sich ab sofort vorbestellen...
Vor 15 Jahren: Als der iMac riesig wurde
Vor 15 Jahren: Als der iMac riesig wurde
Eskalationskurs: ARM kündigt Qualcomm die Design-Lizenz
Eskalationskurs: ARM kündigt Qualcomm die Desig...
Bewertung der gestrigen Neuvorstellungen: Umwerfend ist anders
Bewertung der gestrigen Neuvorstellungen: Umwer...
Vor 30 Jahren: Apple holt Sanierer – kann das sinkende Schiff noch gerettet werden?
Vor 30 Jahren: Apple holt Sanierer – kann das s...
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
iOS 18.0.1, iPadOS 18.0.1, macOS 15.0.1, watchOS 11.0.1 und visionOS 2.0.1 soeben erschienen
iOS 18.0.1, iPadOS 18.0.1, macOS 15.0.1, watchO...
Apple kündigt September-Event an
Apple kündigt September-Event an

Kommentare

sierkb24.04.20 11:01
Bundesamt für Sicherheit in der Informationstechnik (BSI), 23.04.2020: BSI warnt vor Einsatz von iOS-App "Mail"

SZ (23.04.2020): IT-Sicherheit: BSI warnt vor schwerer Sicherheitslücke in Apples iPhone-Mail-Programm
Das Bundesamt für Sicherheit in der Informationstechnik ist alarmiert: US-Sicherheitsforscher sind sicher, dass die Lücke derzeit aktiv ausgenutzt wird. Apple will das Problem mit dem nächsten offiziellen iOS-Update beheben.
SZ,23.04.2020
[…]

In der aktuellsten iOS-Version 13.4.1 sind die Fehler noch vorhanden. Apple sei durch die IT-Sicherheitsfirma informiert worden und habe die Lücke in der Beta-Version des Updates 13.4.5 bereits geschlossen. Bis dieses offiziell verteilt wird, kann es aber noch dauern.

Normalerweise veröffentlichen IT-Sicherheitsfirmen derartige Analysen erst, wenn die betroffenen Unternehmen - in diesem Fall Apple - die Probleme komplett behoben haben. Zecops schreibt dazu, dass sie seit der Veröffentlichung des Patches in der Beta-Version mehr Nutzung der Lücke sehen und sie deshalb die Öffentlichkeit so früh wie möglich informieren wollen. […]

heise (22.04.2020): iPhones durch Zero-Day-Lücken in Apple Mail angreifbar
iOS-Nutzer sollten die Mail-App vorübergehend nicht benutzen, warnen Sicherheitsforscher. Schwachstellen erlauben unbemerktes Code-Einschleusen.
heise, 22.04.2020
[…]

Apple-Patch liegt vor – aber noch nicht final

Ein Angreifer erhalte so Zugriff auf die Mail-App, könne bei Kenntnis einer Kernel-Schwachstelle aber auch das komplette iPhone oder iPad übernehmen, heißt es in dem Bericht. Die Lücken wurden an Apple gemeldet und der Hersteller hat diese in der Beta von iOS 13.4.5 inzwischen auch behoben, betont ZecOps, das Update ist aber noch nicht allgemein verfügbar.

Man habe sich dazu entschieden, die Öffentlichkeit schon vor Freigabe des Apple-Patches zu informieren, da man bereits mehrere Angriffe auf Firmen und Einzelpersonen – darunter Manager, Journalisten und VIPs – protokolliert habe. Angreifer seien sich vermutlich bewusst, dass Apple die Lücken bald schließen wird, deshalb könnten sie derzeit mit Hochdruck in größerem Umfang eingesetzt werden. ZecOps geht davon aus, dass die Schwachstellen seit vielen Jahren in iOS existieren und auch schon länger – unbemerkt – für gezielte Angriffe eingesetzt werden.

[…]
-3
Der echte Zerwi24.04.20 11:04
Der Imageschaden ist schon da. Eine Stellungnahme dazu nützt in der öffentlichen Wahrnehmung leider nichts mehr.
+2
sierkb24.04.20 11:08
Der echte Zerwi
Der Imageschaden ist schon da. Eine Stellungnahme dazu nützt in der öffentlichen Wahrnehmung leider nichts mehr.

Spätestens seit 19. Februar 2020 weiß Apple davon. Jetzt haben wir Ende April 2020.
ZecOps Blog
Disclosure timeline
  • February 19th 2020 – Suspected events reported to the Vendor under ZecOps responsible disclosure policy which allows immediate release for in-the-wild triggers
  • Ongoing communication between the affected vendor & ZecOps
  • March 23rd – ZecOps sent to the affected vendor a POC reproduction of the OOB Write vulnerability
  • March 25th – ZecOps shared a local POC for the OOB Write
  • March 31st – ZecOps confirmed a second vulnerability exists in the same area and the ability of a remote trigger (Remote Heap Overflow) – both vulnerabilities were triggered in the wild
  • March 31st – ZecOps shared a POC with the affected vendor for the remote heap-overflow vulnerability
  • April 7th – ZecOps shared a custom Mail Server to trigger the 0-click heap overflow vulnerability on iOS 13.4 / 13.4.1 easily by simply adding the username & password to Mail and downloading the emails
  • April 15/16th – Vendor patches both vulnerabilities in the publicly available beta
  • April 20th – We re-analyzed historical data and found additional evidence of triggers in the wild on VIPs and targeted personas. We sent an email notifying the vendor that we will have to release this threat advisory imminently in order to enable organizations to safeguard themselves as attacker(s) will likely increase their activity significantly now that it’s patched in the beta
  • April 22nd – Public disclosure
Q:
+1
nane
nane24.04.20 11:11
sierkb
...In der aktuellsten iOS-Version 13.4.1 sind die Fehler noch vorhanden... ...in der Beta-Version des Updates 13.4.5 bereits geschlossen...
Gibt es eine Erklärung für die "neue" Form der Versions-Nummern bei iOS? Wie erklärt sich der Sprung von .4.1 auf .4.5? Kommen ursprünglich wohl einzeln geplante Updates nun im Rudel?
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
0
sierkb24.04.20 11:34
nane:

Wer soll das wie wissen können, zumal vorab? Deine beiden Fragen können Dir wohl nur Apple selber beantwortet werden bzw. eine Antwort erschließt sich möglicherweise erst dann von selbst, wenn das/die diesbzgl. Update(s) verteilt ist/sind bzw. wenn der Prozess abgeschlossen ist und die in Rede stehenden Lücken nachprüfbar, vollständig und endgültig geschlossen sind.
-4
Deppomat24.04.20 11:56
Habt ihr nen Link zu eurer Quelle? Danke!

Edit: Vermisse das übrigens regelmäßig hier bei euch. Ihr schreibt irgendwas, und wenn ich mich frage, aha, wo kommt das her? Kein Link.
+15
Der echte Zerwi24.04.20 13:42
sierkb
Der echte Zerwi
Der Imageschaden ist schon da. Eine Stellungnahme dazu nützt in der öffentlichen Wahrnehmung leider nichts mehr.

Spätestens seit 19. Februar 2020 weiß Apple davon. Jetzt haben wir Ende April 2020.

Äähh...wo ist der Zusammenhang...habe ich etwas anderes behauptet???
+2
sierkb24.04.20 14:03
Der echte Zerwi:

Wo habe ich Dir widersprochen?
-7
Michael Lang24.04.20 15:08
Ob es nun eine schwerwiegende (bereits durch Hacker ausgenutzt) Lücke ist oder nicht: Apple sollte schleunigst(!) Handeln und das Update rausbringen.

Jegliches weiteres Warten ist nicht gut für die User (Sicherheit) und auch nicht für Apple (Image).
- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
+1
sierkb24.04.20 15:25
Michael Lang
Ob es nun eine schwerwiegende (bereits durch Hacker ausgenutzt) Lücke ist oder nicht: Apple sollte schleunigst(!) Handeln und das Update rausbringen.

+1
Michael Lang
nicht gut für die User (Sicherheit) und auch nicht für Apple (Image).

+1

In dieser Reihenfolge. Und nicht umgekehrt. Die Sorge um das Image hat vor sowas zurückzustehen, ist das Unwichtigste von allem überhaupt, sollte, wenn man Verantwortung wirklich ernst nimmt, an letzter Stelle kommen – an der allerletzten Stelle (wenn überhaupt eine Rolle spielen). Recht- und frühzeitige Information, Transparenz ist das Gebot. Und nicht scheibchenweise und getrieben durch die öffentliche Berichterstattung anderer (welche ihre Verantwortung offenbar ernster nehmen als Apple – indem sie nicht bzw. nicht mehr schweigen und informieren wo Apple schweigt und den Mund hält und so gar nix sagt bzw. nun, da sie genötigt sind etwas dazu zu sagen, es mit zugekniffenem Mund tun und abwiegeln).
Pro-aktive Außen-Kommunikation bitte. Statt re-aktive.
-5
Der echte Zerwi24.04.20 16:26
Apple war schon immer bekannt dafür, erst zu reagieren, wenn der öffentliche Druck zu groß wird. Leider.
+1
iBert24.04.20 16:59
MTN
Dem Sicherheitsspezialisten ZecOps hatte mehrere Angriffsziele aufgeführt und sprach ohne Nennung der Namen von Vertretern großer Unternehmen, japanische Manager, einen Prominenten aus Deutschland, Sicherheitsnetze in Saudi-Arabien und Israel sowie einen europäischen Journalisten.

Entschuldigung, mein Deutsch ist oftmals auch ziemlich grottig aber dieser Satz ist eine Grammatiksau.
Objektiv ist relativ, subjektiv gesehen.
+3
dan@mac
dan@mac24.04.20 23:20
Manch einer benimmt sich beim Bekanntwerden solcher Sicherheitslücken als sei es der Skandal des Jahrhunderts, nur alle paar Monate wieder.
+1
tinbert
tinbert25.04.20 07:14
Wenn Apple recht hat und die Lücke zwar existiert, aber nicht ausgenutzt werden kann, dann muss ich mich doch fragen, welche Schrauben beim BSI gedreht wurden, dass aus einer Mücke so ein (Medien-) Elefant wurde.
Solange nicht wirklich nachweisbar Schaden angerichtet werden konnte, halte ich das Ganze für Apple-Bashing.
0
NX4U225.04.20 08:24
@tinbert
war auch mein erster Gedanke, dass da bzgl. der "Corona-App" Verhandlungen () ein aufbauschen stattfindet. Die Zeitnähe der beiden Ereignisse halt.
Letztendlich ist der Fehler fakt und sollte schnell gelöst werden.
+2
cpack25.04.20 12:54
Welches Mail Programm benutzt Ihr den?
-1
shotekitehi
shotekitehi26.04.20 15:44
cpack
Welches Mail Programm benutzt Ihr den?

seit gestern teste ich Spark. Finde ich nicht übel.
Auf der Schachtel stand: ‘Benötigt Windows XP oder besser’. Also habe ich mir einen Mac gekauft.
0
OnTheNet26.04.20 18:28
Protonmail. Funktioniert perfekt geräteübergreifend.
0
meeshaa
meeshaa26.04.20 23:54
shotekitehi
cpack
Welches Mail Programm benutzt Ihr den?

seit gestern teste ich Spark. Finde ich nicht übel.

Hatte ich auch eine Zeit lang im Einsatz. Soll aber mit der Speicherung von Passwörtern auf deren Servern nicht ganz so optimal sein.

0
meeshaa
meeshaa26.04.20 23:56
OnTheNet
Protonmail. Funktioniert perfekt geräteübergreifend.

Lohnt sich das Geld? Sind das noch 50 oder 60 Euro pro Jahr?
0
orlitravel27.04.20 01:10
Spätestens seit 19. Februar 2020 weiß Apple davon. Jetzt haben wir Ende April 2020.

Wie du selbst schreibst, konnte erst am 23.03. der Bug reproduzierbar Apple gemeldet werden. Also hat es nach dem Entdecken noch mal einen Monat gedauert, bis das Sicherheitsunternehmen selber den Bug reproduzierbar ausnutzen konnte. Sehr kritisch in der Masse wirkt das auf mich nicht. Tja, Englisch müsste man halt können ...
-1
Super8
Super827.04.20 18:55
Heute ist der 27. April 2020, mehr als ein Monat später. Es gibt eine dringende Warnung des BSI, aber auf die kritiklose Masse der Apple Fan-Boys wirkt das nicht. Das würde ich als bedenklich, oder besser, erstaunlich bezeichnen.
orlitravel
Spätestens seit 19. Februar 2020 weiß Apple davon. Jetzt haben wir Ende April 2020.

Wie du selbst schreibst, konnte erst am 23.03. der Bug reproduzierbar Apple gemeldet werden. Also hat es nach dem Entdecken noch mal einen Monat gedauert, bis das Sicherheitsunternehmen selber den Bug reproduzierbar ausnutzen konnte. Sehr kritisch in der Masse wirkt das auf mich nicht. Tja, Englisch müsste man halt können ...
0
OnTheNet27.04.20 19:29
meeshaa
OnTheNet
Protonmail. Funktioniert perfekt geräteübergreifend.

Lohnt sich das Geld? Sind das noch 50 oder 60 Euro pro Jahr?


48€ Jahresbeitrag.
Geht in der Sparversion auch kostenlos.
0
PaulMuadDib28.04.20 02:12
Super8
Heute ist der 27. April 2020, mehr als ein Monat später. Es gibt eine dringende Warnung des BSI, aber auf die kritiklose Masse der Apple Fan-Boys wirkt das nicht. Das würde ich als bedenklich, oder besser, erstaunlich bezeichnen.
Aus berufliche Erfahrung weiß ich, dass das BSI immer sehr schnell mit sogenannten kritischen Warnungen dabei ist. Man sollte also nicht alles auf die Goldwaage legen. Aber nett das du alle als „kritiklose Apple Fan Boys“ titulierst.
+2
PaulMuadDib28.04.20 02:14
OnTheNet

48€ Jahresbeitrag.
Geht in der Sparversion auch kostenlos.
Wer zahlt denn bitteschön im Jahre 2020 Geld für ein E-Mail-Client?
-3
cpack29.04.20 08:23
PaulMuadDib

Ja da hast du recht. Aber welchen sonst?
0
PaulMuadDib29.04.20 12:41
Mir reicht der mitgelieferte. Zeigt die Mails an und ich kann drin suchen. Habe zusätzlich einen lokalen Ordner für Mails, welche ich behalten will. Fertig.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.