[Warning] Kritische Sicherheitslücke in Apple Mail App (MobileMail/Maild) für iOS
Robert Waldner
waldner at cert.at
Thu Apr 23 11:52:33 CEST 2020
23. April 2020
Beschreibung
Das IT-Security Unternehmen ZecOps hat Informationen zu Schwachstellen
in der Standard Mail App für Apple iOS (IPhone, IPad etc.)
veröffentlicht, für die es noch keine breit verfügbaren Patches gibt.
Die Schwachstellen werden zumindest in gezielten Angriffen bereits seit
2018 aktiv ausgenützt.
Auswirkungen
Durch erfolgreiches Ausnützen der Schwachstelle ist es Angreifern
prinzipiell möglich, beliebigen Code auf betroffenen Geräten
auszuführen. Damit sind alle Daten auf diesen Systemen, sowie alle
durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme
gefährdet.
Betroffene Systeme
Geräte mit Apple iOS in Versionen 6 bis 13, auf denen die Standard Mail
App genutzt wird
Details über die hier relevanten Unterschiede zwischen iOS 12 und 13
sind im Advisory von ZecOps zu finden.
Abhilfe
Einspielen entsprechender Patches, sobald verfügbar.
Bis dahin empfehlen wir, auf alternative Mail Apps bzw. Webmail
auszuweichen:
* löschen der Apple Mail App
+ eventuell reicht auch eine Sperre via MDM oder Parental
Controls, wir haben diese Methode aber nicht verifiziert
* auf eine andere Email App (zB Microsoft Outlook für iOS) oder
Webmail (für Apple Email-Accounts via https://icloud.com/
verfügbar) ausweichen
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Advisory von ZecOps (englisch)
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
Artikel bei heise.de
https://heise.de/-4707901
--
// CERT Austria - Robert Waldner<waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20200423/60cfee2d/attachment.sig>
More information about the Warning
mailing list