[Warning] Schwachstellen im Apple Betriebssystem iOS
Robert Waldner
waldner at cert.at
Thu Jul 7 14:08:01 CEST 2011
7. Juli 2011
Beschreibung
Das Betriebssystem Apple iOS, das in Geräten zur mobilen
Kommunikation und Internetnutzung wie dem iPhone, iPad und iPod
touch eingesetzt wird, enthält in der zur Betrachtung von
PDF-Dateien verwendeten Bibliothek kritische Schwachstellen.
Bereits das Anklicken eines manipulierten PDF-Dokuments oder das
Ansurfen einer mit PDF-Dokumenten versehenen Webseite reichen aus, um
das mobile Gerät ohne Wissen des Nutzers mit Schadsoftware zu
infizieren.
Die Schwachstellen ermöglichen es potenziellen Angreifern, Zugriff
mit Administratorrechten auf das komplette System zu erlangen.
Bislang steht noch kein Patch für diese Sicherheitslücken zur
Verfügung.
Auswirkungen
Verlust vertraulicher Informationen möglich
Die Schwachstellen sind öffentlich bekannt und Exploit-Code zu deren
Ausnutzung ist verfügbar. Zwar wurden noch keine Angriffe beobachtet,
es ist jedoch damit zu rechnen, dass Angreifer die Schwachstellen
zeitnah ausnutzen werden.
Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem
das Auslesen von vertraulichen Informationen (Passwörtern,
Online-Banking-Daten, Terminkalendern, E-Mail-Inhalten, SMS oder
Kontaktdaten), der Zugriff auf eingebaute Kameras, das Abhören von
Telefongesprächen sowie die GPS-Lokalisierung des Nutzers.
Aufgrund der Popularität der iOS-Geräte werden diese häufig auch im
beruflichen Umfeld genutzt. Nach Kenntnis des BSI werden insbesondere
iPhone und iPad auch im höheren Management eingesetzt. Daher ist es
möglich, dass die Schwachstellen auch für gezielte Angriffe auf
Führungskräfte ausgenutzt werden, beispielsweise um an vertrauliche
Unternehmensinformationen zu gelangen.
Betroffene Systeme
Folgende Geräte von Apple mit dem Betriebssystem iOS:
Von den Schwachstellen betroffen sind die Betriebssysteme:
* Apple iOS für iPhone 3GS und iPhone 4 bis einschließlich Version
4.3.3
* Apple iOS für iPad und iPad 2 bis einschließlich Version 4.3.3
sowie
* Apple iOS für iPod touch bis einschließlich Version 4.3.3
Derzeit ist nicht auszuschließen, dass auch weitere Versionen des
Betriebssystems iOS von der Schwachstelle betroffen sind.
Abhilfe
Bis zur Veröffentlichung eines Software-Updates des Herstellers
empfehlen wir:
* PDF-Dokumente aus unbekannten oder unsicheren Quellen nicht auf
iOS-Geräten zu öffnen. Dies gilt sowohl für PDFs, die im Rahmen
von Webseiten bereitgestellt werden, als auch für PDFs in
E-Mails oder anderen Applikationen.
* Die Nutzung des Browsers auf dem mobilen Endgerät sollte auf
vertrauenswürdige Webseiten beschränkt werden.
* Hyperlinks in E-Mails oder auf Webseiten sollten nur geöffnet
werden, wenn diese aus vertrauenswürdigen Quellen stammen.
* Bei der Nutzung von Suchmaschinen sollte man bei den Ergebnissen
in der Trefferliste darauf achten, nicht ein PDF-Dokument
anzuklicken.
Das BSI steht in Kontakt mit dem Hersteller Apple und wird über neue
Sicherheitsinformationen berichten.
Ähnliche Schwachstellen sind bereits im August 2010 bekannt geworden
und innerhalb kurzer Zeit geschlossen worden. Es ist auch diesmal
davon auszugehen, dass Apple zeitnah ein Sicherheits-Update
veröffentlichen wird, das die Schwachstellen schließt.
__________________________________________________________________
Diese Warnung basiert großteils auf dem entsprechenden Bericht der
Kollegen des deutschen Bundesamts für Sicherheit in der
Informationstechnik (BSI).
__________________________________________________________________
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Meldung des BSI
https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/Schwachstelle-im-Apple-Betriebssystem-iOS-06072011.html
Meldung bei Heise
http://www.heise.de/security/meldung/Website-Jailbreak-auch-fuer-das-iPad-2-1274131.html
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 262 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20110707/da289190/attachment.sig>
More information about the Warning
mailing list