Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple veröffentlicht iOS 4.3.4 und schließt PDF-Sicherheitslücke

Apple hat eine neue Version von iOS veröffentlicht. Version 4.3.4 richtet sich an alle Benutzer eines iPhone 3GS, iPhone 4, iPod touch der dritten und vierten Generation sowie iPad der ersten und zweiten Generation. In der Updatebeschreibung heißt es, die neue Version schließe eine Sicherheitslücke im Zusammenhang mit dem Anzeigen schädlicher PDF-Dateien. Das Update ist keine Überraschung, denn Apple hatte bereits angekündigt, die Sicherheitslücke schließen zu wollen. Die Lücke in der PDF-Verarbeitung von iOS wurde dazu ausgenutzt, um einen Jailbreak via JailBreakMe durchzuführen. Installiert man iOS 4.3.4, so funktioniert diese Entsperrung nicht mehr. Weitere Verbesserungen nennt Apple nicht, es handelt sich also um eine reine Sicherheitsaktualisierung. Installiert werden kann die neue iOS-Version wie üblich über iTunes. Schließt man ein unterstütztes iOS-Gerät an und lässt nach Updates suchen, so bietet iTunes iOS 4.3.4 an.
Mac mini M4 im ersten Test: Was hält der kleine Würfel?
Mac mini M4 im ersten Test: Was hält der kleine...
Beddit ist Geschichte, Apple entfernt Apps
Beddit ist Geschichte, Apple entfernt Apps
Kurz: Schon wieder neue AirPods-Firmware +++ Severance Staffel 2: Trailer erschienen
Kurz: Schon wieder neue AirPods-Firmware +++ Se...
Test Apple Mac mini M4
Test Apple Mac mini M4
watchOS 11: Apple trennt sich von vier Zifferblättern
watchOS 11: Apple trennt sich von vier Zifferbl...
Kopplung "iPhone + Apple Watch" sowie Anbindung von Zubehör: Apple drohen weitere rechtliche Probleme
Kopplung "iPhone + Apple Watch" sowie Anbindung...
Release Candidate ist da! iOS 18, iPadOS 18, macOS 15 und watchOS 11 sind fertig
Release Candidate ist da! iOS 18, iPadOS 18, ma...
Apple TV+: Strategiewechsel?
Apple TV+: Strategiewechsel?

Kommentare

Turbo
Turbo15.07.11 20:52
Man die sollen Lion bringen und nicht dieses blöde Update!!
Sei und bleibe höflich!
0
DarkVamp
DarkVamp15.07.11 20:56
Yep so isses
0
roxxin15.07.11 20:56
haha! seh ich auch so. schlechtes timing.
0
Apple@Freiburg15.07.11 20:56
Ich finde es gut dann verschwindet der Jailbreak auf meinem iPad ohne das ich es neu aufsetzten muss. Hatte das mal zum Test, weil ja viele sagen das ist "überlebenswichtig". Aber ich kann keinen Vorteil erkennen, die Apps sind teilweise sauteuer, funktionieren erst gar nicht oder die Source für den download existiert nicht.

Die Entwickler der Jailbreaks können es langsam lassen, es taugt nichts und im AppStore gibt es ja für fast alles ein App.... und das sogar in der Regel günstiger als im Lydia Store.

Kurz gesagt: Hab auf das Update schon gewartet um mir die Arbeit zu ersparen

EDIT: Ach und ja für Lion wird es echt Zeit
0
jajamulu
jajamulu15.07.11 20:59
Kann man von der 5.0 Beta ohne Restore auf 4.3.4 "downgraden"? Sind mir irgendwie zu viele Bugs drinn.
0
cubecube15.07.11 21:00
so 3 mal 600MB bitte. Für 3 verdammte Codezeilen vermutlich.
0
doalwa15.07.11 21:02
Ich weiss nicht, ob diese Frage heute bereits aufkam, aber.....Verdammt nochmal, wo bleibt Lion??
Was ein Tag schon wieder, die Eintracht liegt hinten, das Bier ist warm und Apple bringt das falsche OS-Update raus !!!
0
sierkb15.07.11 21:07
security-announce@lists.apple.com:
APPLE-SA-2011-07-15-1 iOS 4.3.4 Software Update
APPLE-SA-2011-07-15-2 iOS 4.2.9 Software Update for iPhone
0
iPhoneFreak200915.07.11 21:13
Brauche ich als MobileMe user auch wieder dieses update? Hab keine Lust dazu, da ich dann wieder das IP4 jailbreaken muss.

(aufgrund von MobileMe hatte ich damals von 4.2.3 glaub ich auf die bis jetzt aktuelle Version updaten müssen, da meine Kontakte, Kalender nicht mehr richtig synchronisiert wurden. Online geänderte Kontakte wurden nicht auf das iPhone übertragen, sondern die Kontakte auf dem iPhone ersetzten - bzw. überschrieben immer wieder meine online im webinterface geänderte Kontakte. Nach Rücksprache mit dem Support kam heraus das einige Einstellungen beim synchronisieren mit der neuen iOS Version geändert wurden. Auch ne Art den jailbreaks irgendwie "vorzubeugen" - wenn ich aufgrund von MobileMe jedesmal direkt zum update gezwungen werde...)
0
marti20_415.07.11 21:20
und was ist an einem Sicherheitsupdate blöd?

Bitte vor dem Schreiben Hirn einschalten!
0
o.wunder
o.wunder15.07.11 21:20
Lion kommt noch viel zu früh mit vielen Bugs die gefunden werden wollen. Auf auf
0
autoexec.mac
autoexec.mac15.07.11 21:38
Morgen scheint mal wieder die Sonne.
Einige hier brauchen dringend Frischluft!
0
teorema67
teorema6715.07.11 22:12
marti20_4: Blöd ist, dass das komplette System neu installiert wird und die Sache beim iP4 inzwischen fast so lange dauert wie einen Mac neu aufsetzen.
Rassismus ist, überall Rassismus zu wittern, wo keiner ist, und damit echten Rassismus zu bagatellisieren. (Dieter Nuhr)
0
daidai
daidai15.07.11 22:13
gibt's wirklich leute die sich beklagen das ihr iphone nicht richtig funzt, wenn sie es mit jailbreak... ? lol
Wie wir die Arbeit anschauen, so schaut uns die Arbeit wieder an.
0
Boedefeld15.07.11 22:14
teorema67: Das ändert sich mit iOS 5 im Herbst ja Gott sei Dank endlich.
Aber bei einem Sicherheitsupdate würde ich nie lange warten es zu installieren. Da nehme ich die Zeit dann gerne in Kauf. Und so lange wie geschildert dauerts ja nun auch nicht...

Update installiert, iPhone startet gerade neu.
0
dannyinabox
dannyinabox15.07.11 22:15
Ach, was wollt ihr denn mit Lion? Da sind doch danny eh wieder 3 bis 4 Aktualisierungen nötig um das OS geschwindigkeitsmässig wieder auf den Stand von 10.6.8 zu bringen..
0
alQamar
alQamar15.07.11 22:19
Ich brauche es dank PDF Patcher mal wieder nicht.
Jetzt hat nach dem iPhone Classic nun übrigens auch das 3G eine (ohne Jailbreak) unpatchbare Sicherheitslücke. Aber der JB ist ja bööööööööse.
0
Sagrido
Sagrido15.07.11 23:01
666,6MB
Bei dem Update geht's mit dem Teufel zu!
0
teorema67
teorema6715.07.11 23:05
dannyinabox: Genau so ist es ...
Rassismus ist, überall Rassismus zu wittern, wo keiner ist, und damit echten Rassismus zu bagatellisieren. (Dieter Nuhr)
0
joeN
joeN15.07.11 23:06
Ich würde es ja laden, aber wieder zweimal über 600 MB für eine Lücke downloaden, die wie ich es verstanden habe nur von mir selbst ausgenutzt werden kann, nein, dafür reicht mein Datenvolume leider einfach nicht aus

Wie ich mich schon auf die Delta-Updates in iOS 5 freue, das hat in meinen Augen sowieso viiiiiiiiel zu lange gedauert ...
0
fafhnir15.07.11 23:21
Also ich finde, da können alle Android-Hersteller sich doch eine dicke Scheibe abschneiden, wenn ich sehe, wie lange so ein Update bei Android-Geräten dauert...

Da sieht man, dass man mit Apple voll aufs richtige Pferd gesetzt hat.
0
sierkb15.07.11 23:58
joeN:
aber wieder zweimal über 600 MB für eine Lücke downloaden, die wie ich es verstanden habe nur von mir selbst ausgenutzt werden kann

Dann hast Du da wohl was missverstanden, denn dem ist nicht so. Es braucht nicht Dein Zutun, um seine Wirkung zu entfalten, dafür sorgt Dein iPhone u.a. durch seine standardmäßigen Einstellungen im Umgang mit PDFs von ganz alleine. Stichwort: Drive-by-Download :
Ein Drive-by-Download bezeichnet das unbewusste (engl. Drive-by: im Vorbeifahren) und unbeabsichtigte Herunterladen (Download) von Software auf den Rechner eines Benutzers. Unter anderem wird damit das unerwünschte Herunterladen von Schadsoftware allein durch das Anschauen einer dafür präparierten Webseite bezeichnet.
BSI
Bereits das Anklicken eines manipulierten PDF-Dokuments oder das Ansurfen einer mit PDF-Dokumenten versehenen Webseite reichen aus, um das mobile Gerät ohne Wissen des Nutzers mit Schadsoftware zu infizieren.

heise: Gefahr für iPhone-Nutzer durch öffentlichen Exploit :
heise
[..]
Der Jailbreak umgeht mehrere Sicherheitsmechanismen in iOS und setzt unter anderem die Notwendigkeit, dass Code von Apple digital signiert wird, danach auch dauerhaft außer Kraft. Dazu lädt die Website ein speziell präpariertes PDF-Dokument, das eine bislang unbekannte Sicherheitslücke im PDF-Viewer der iOS-Geräte ausnutzt. Ersten Analysen zufolge tritt der Fehler in der Freetype-Bibliothek libCGFreetype auf, wenn diese Type 1 Fonts via t1_decoder_parse_charstrings() behandelt.

Dieser somit öffentlich verfügbare PDF-Exploit wird derzeit von vielen Sicherheitsexperten analysiert. Wer verstanden hat, wie er funktioniert, kann ihn prinzipiell auch so umbauen, dass er statt die App-Store-Alternative Cydia zu installieren zum Beispiel ein Spionage-Programm auf dem iPhone platziert. Das könnte schon durch den Besuch einer Web-Seite ausgelöst werden. Die Gefahr von bösartigen Drive-by-Downloads ist durchaus real. Der iOS-Sicherheitsexperte Stefan Esser schätzt, dass weltweit hunderte, wenn nicht sogar tausende Entwickler technisch in der Lage sind, den Exploit für eigene Zwecke umzufunktionieren.

So warnt auch das Bundesamt für Sicherheit in der Informationstechnik aktuell, dass die "Ausführung von Schadprogrammen auf iPhone, iPad und iPod touch möglich" ist, und empfiehlt iPhone- und iPad-Nutzern, "PDF-Dokumente aus unbekannten oder unsicheren Quellen nicht auf iOS-Geräten zu öffnen". Dieser wenig hilfreiche Rat – schließlich kann der Anwender eine Website nicht daran hindern, eine PDF-Datei zu laden – resultiert aus der Tatsache, dass es auch einen Tag nach der Veröffentlichung noch keine offizielle Reaktion von Apple gibt. Dabei fiel der Exploit keineswegs plötzlich vom Himmel, er wurde bereits vor fünf Tagen öffentlich diskutiert.

Auch in obigen von mir verlinkten Security Announces zu diesem Update für iOS 4.3.4 und iOS 4.2.9 schreibt Apple:
Impact: Viewing a maliciously crafted PDF file may lead to an unexpected application termination or arbitrary code execution[..]
Malicious code running as the user may gain system
privileges

Du tust also gut daran, Dir dieses Update so rasch als möglich aufzuspielen.
0
sierkb16.07.11 00:18
joeN:

Nachtrag:

Du tust also gut daran,und es ist Dir dringend anempfohlen, Dir dieses Update so rasch wie möglich aufzuspielen. Vor allem vor dem Hintergrund, dass diesbzgl. eben öffentlich bekannt ist, wie man diese Lücke ausnutzen kann und die Jailbreak-Leute sicher nicht die Einzigen sind, die das wissen. Und vor dem Hintergrund, dass es jetzt schon mehrere Tage (über eine Woche, fast zwei Wochen nach erstem Bekanntwerden) gedauert hat, bis Apple jetzt diese Lücke gestopft hat. In dieser Zeit können Dir nicht so wohlgesonnene Zeitgenossen sich prima vorbereiten, genau in diese Lücke reinzustoßen und Dir eigentlich harmlos erscheinende Webseiten kapern und denen dann präparierte PDFs unterschieben. Genau das ist in letzter Zeit nämlich so der Trend bei denen, der so allgemein beobachtet wird: harmlose Webseiten kapern und denen irgendwas Präpariertes unterschieben, das sich dann ggf. durch Drive-by-Download weiterverbreitet. Oder eigene harmlos aussehende Webseiten anbieten, die entsprechend präpariert sind und die durch geschickte SEO-Manipulation dann auch noch in den Trefferlisten der Suchmaschinen ganz oben landen, um möglichst viele Leute auf sich zu ziehen. Der VLC-Media-Player hat zum Beispiel dieser Tage mit genau sowas zu kämpfen:

heise: VLC kämpft mit Lücken und betrügerischen Klonen

Google hat dieser Tage genau deswegen erstmal eine komplette Subdomain eines Freehosters (co.cc) mit über 11 Millionen Links aus seinem Index rausgeschmissen und gesperrt, weil von dieser Domain in letzter Zeit ziemlich viele solcher präparierten Webseiten ausgegangen sind:

heise: Google verbannt Freehoster co.cc aus seinem Index

Eine umstrittene Maßnahme, weil sie fast einer Zensur gleichkommt, aber wohl eine wirkungsvolle Maßnahme und eine Art Befreiungsschlag, die vor allem einem zugute kommt: Dir, dem Nutzer.
0
data38
data3816.07.11 01:22
ihr Apple junger geht mir alle auf den Sack.... dieses gehype ist echt furchtbar... iad ohne Flash ist die absolute Katastrophe. ich nenne ein iPhone4 und iPad 2 mein eigen. iPhone ist super, aber iPad ohne Flash geht gar nicht. hätte nicht gedacht das es mich so nervt. nur weil Herr Jobs meint Flash ist scheiße,müssen alle verzichten... wer ein iPad brauch kann sich gerne melden... ich finde es ätzend, dass man so eingeschrenkt wird....
0
sierkb16.07.11 02:08
data38:

Mit Apple-Jünger ja oder nein hat das null zu tun, was Du da bemängelst.

Du prügelst den Falschen.

Wie wär's, wenn Du Deinen Ärger mal beim eigentlichen Verursacher abladen würdest? Nämlich bei demjenigen, der Dir seine Inhalte als Flash-only vor die Nase setzt, anstatt diese auch in einer Flash-freien Variante anzubieten (so wie es grundsätzlich eigentlich auch schon immer und seit Jahren richtig gewesen wäre!), sodass Du als Nutzer Wahlfreiheit und eine Alternative hast? Du badest im Grunde nur aus, was diese Inhalteanbieter "verbrochen" haben.

Apple ist in diesem Spiel eigentlich nur der Mittler. Im Grunde wird durch diese Situation überdeutlich, wie es sich eben anfühlt, wenn man für kein Fallback sorgt! Schuld von Apple? Nein! Schuld derjenigen, die ihre Inhalte ohne Fallback ins Netz gestellt haben und Dich als Nutzer quasi zwingen, ihre Inhalte auschließlich nur mit Flash benutzen zu können? Oh ja!

Du könntest prima auch auf dem iPhone und dem iPad Flash-frei konsummieren, wenn verschiedene Inhalte-Anbieter ihre Hausaufgaben richtig gemacht hätten. Und zwar grundsätzlich und schon viel weiter zurückliegend. Weil es nämlich eigentlich zum guten Ton gehört (und nicht erst, seit Apple das Flash-Plugin von seinen mobilen Plattformen fernhält), als Inhalteanbieter gerade in solchen Dingen mehrere Möglichkeiten anzubieten und den Benutzer nicht zu irgendwas zu nötigen bzw. es ihm einfach abzutrotzen.

Zumal man durchaus auch auf Stimmen trifft, die alles andere als hingerissen davon sind, wie Flash unter Android performt (sofern es denn da überhaupt überall installiert ist) und es sich anfühlt. Zumal die allermeisten Flash-Dinge im Netz auf eine Mausbasierte Benutzerführung ausgelegt sind und bei solchen fingerbedienten Endgeräten wie iPhone, iPad oder den ganzen Androidgeräten in der Bedienung kläglich versagen würden beziehungsweise teilweise nahezu unbenutzbar sind, weil sie eben auf Touchscreen-Devices nicht vorbereitet worden sind. Ein Großteil von Flash-basierten Apps müsste eigentlich neu geschrieben und konzipiert werden und auf Fingerbedienung ausgelegt werden. was nutzt Dir eine Flash-Anwendung, die Du zwar schön anschauen kannst, die Du aber kaum oder schlecht oder teilweise gar nicht bedienen und navigieren kannst, weil sie auf Mausbedienung und nicht auf Fingerbedienung ausgelegt sind?

Zudem, mal wahllos mal via Google grad' rausgepickt:

Business Insider: Flash Is Finally On The Xoom -- But It's Lame
Technologizer: The Xoom Gets Flash. But Don’t Get Too Excited
0
Aronnax16.07.11 02:45
@sierkb
Du prügelst den Falschen.

Nöö, macht er nicht
Der liebe Herr Jobs nimmt ihn nun mal die Wahlfreiheit und nicht nur bei Flash. Der liebe/böse Herr Jobs war es nun mal und niemand sonst

Sierkb, du bist doch langsam alt genug auch einzusehen, dass zur Freiheit auch Dinge gehören, die nicht jedem gleich gut gefallen.
Warum haben denn Inhalteanbieter nicht ebenso dieses Recht. Mit dem ausschließen von Inhalten/Techniken geht auch niemand hemmungsloser um, als der kleine böse Steve. Warum sich also bescheren? Wenn der Steve das darf - und dem stimmst du ja auch zu, so weit ich weiß.
Also bitte doch: Gleiches Recht für alle
0
Dekator
Dekator16.07.11 08:58
Und was ist mit den Problemen PDFs, die auf'm Rechner lesbar sind auf'm iPhone/iPad aber nicht? Vielleicht können sie sich mal darum kümmern, dass ihr Zeug überhaupt grundsätzlich rund läuft.
0
Thunderbolt16.07.11 11:11
Dekator

Ich weiss nicht, wovon du sprichst. PDFs können viele Fehler enthalten, so dass sie auf einer Plattform lesbar sind, aber auf einer anderen nicht.

Hol dir den Goodreader. Wenn es damit nicht geht, dann ist das PDF Murks.
0
Banker909016.07.11 12:00
Wieder ein Update das die Welt nicht braucht. Ich werde mir den Traffic jedenfalls sparen.

Und im iOS 5 ist der Code dann eh mit drin.
0
Kovu
Kovu16.07.11 13:30
Also ich bin froh das der Flash Player auf dem iPad nicht drauf ist. Ich brauch ihn nicht und verachte alle Seiten, die keine Alternative anbieten (von denen mir zum Glück praktisch schon sehr lange keine mehr begegnet ist.).
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.