[Warning] Schwachstellen im Apple Betriebssystem iOS

Robert Waldner waldner at cert.at
Thu Jul 7 14:08:01 CEST 2011 

7. Juli 2011

Beschreibung

   Das Betriebssystem Apple iOS, das in Geräten zur mobilen
   Kommunikation und Internetnutzung wie dem iPhone, iPad und iPod
   touch eingesetzt wird, enthält in der zur Betrachtung von
   PDF-Dateien verwendeten Bibliothek kritische Schwachstellen.

   Bereits das Anklicken eines manipulierten PDF-Dokuments oder das
   Ansurfen einer mit PDF-Dokumenten versehenen Webseite reichen aus, um
   das mobile Gerät ohne Wissen des Nutzers mit Schadsoftware zu
   infizieren.

   Die Schwachstellen ermöglichen es potenziellen Angreifern, Zugriff
   mit Administratorrechten auf das komplette System zu erlangen.
   Bislang steht noch kein Patch für diese Sicherheitslücken zur
   Verfügung.

Auswirkungen

   Verlust vertraulicher Informationen möglich

   Die Schwachstellen sind öffentlich bekannt und Exploit-Code zu deren
   Ausnutzung ist verfügbar. Zwar wurden noch keine Angriffe beobachtet,
   es ist jedoch damit zu rechnen, dass Angreifer die Schwachstellen
   zeitnah ausnutzen werden.
   Mögliche Angriffsszenarien für Cyber-Kriminelle sind unter anderem
   das Auslesen von vertraulichen Informationen (Passwörtern,
   Online-Banking-Daten, Terminkalendern, E-Mail-Inhalten, SMS oder
   Kontaktdaten), der Zugriff auf eingebaute Kameras, das Abhören von
   Telefongesprächen sowie die GPS-Lokalisierung des Nutzers.

   Aufgrund der Popularität der iOS-Geräte werden diese häufig auch im
   beruflichen Umfeld genutzt. Nach Kenntnis des BSI werden insbesondere
   iPhone und iPad auch im höheren Management eingesetzt. Daher ist es
   möglich, dass die Schwachstellen auch für gezielte Angriffe auf
   Führungskräfte ausgenutzt werden, beispielsweise um an vertrauliche
   Unternehmensinformationen zu gelangen.

Betroffene Systeme

   Folgende Geräte von Apple mit dem Betriebssystem iOS:

   Von den Schwachstellen betroffen sind die Betriebssysteme:
     * Apple iOS für iPhone 3GS und iPhone 4 bis einschließlich Version
       4.3.3
     * Apple iOS für iPad und iPad 2 bis einschließlich Version 4.3.3
       sowie
     * Apple iOS für iPod touch bis einschließlich Version 4.3.3

   Derzeit ist nicht auszuschließen, dass auch weitere Versionen des
   Betriebssystems iOS von der Schwachstelle betroffen sind.

Abhilfe

   Bis zur Veröffentlichung eines Software-Updates des Herstellers
   empfehlen wir:
     * PDF-Dokumente aus unbekannten oder unsicheren Quellen nicht auf
       iOS-Geräten zu öffnen. Dies gilt sowohl für PDFs, die im Rahmen
       von Webseiten bereitgestellt werden, als auch für PDFs in
       E-Mails oder anderen Applikationen.
     * Die Nutzung des Browsers auf dem mobilen Endgerät sollte auf
       vertrauenswürdige Webseiten beschränkt werden.
     * Hyperlinks in E-Mails oder auf Webseiten sollten nur geöffnet
       werden, wenn diese aus vertrauenswürdigen Quellen stammen.
     * Bei der Nutzung von Suchmaschinen sollte man bei den Ergebnissen
       in der Trefferliste darauf achten, nicht ein PDF-Dokument
       anzuklicken.

   Das BSI steht in Kontakt mit dem Hersteller Apple und wird über neue
   Sicherheitsinformationen berichten.
   Ähnliche Schwachstellen sind bereits im August 2010 bekannt geworden
   und innerhalb kurzer Zeit geschlossen worden. Es ist auch diesmal
   davon auszugehen, dass Apple zeitnah ein Sicherheits-Update
   veröffentlichen wird, das die Schwachstellen schließt.
     __________________________________________________________________

   Diese Warnung basiert großteils auf dem entsprechenden Bericht der
   Kollegen des deutschen Bundesamts für Sicherheit in der
   Informationstechnik (BSI).
     __________________________________________________________________

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung des BSI

https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/Schwachstelle-im-Apple-Betriebssystem-iOS-06072011.html
   Meldung bei Heise

http://www.heise.de/security/meldung/Website-Jailbreak-auch-fuer-das-iPad-2-1274131.html


-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 262 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20110707/da289190/attachment.sig>

More information about the Warning mailing list