2222787

Mehr Sicherheit für Sierra, iOS 10 und andere Systeme

21.09.2016 | 15:09 Uhr |

Sicherheitsupdates in macOS Sierra

An Sicherheitslücken korrigiert Apple beim Apache-Modul eine unsichere Konfiguration der HTTP-Proxy-Variable, auch als HTTPoxy bekannt. Des Weiteren bringt Apple PHP auf Version 5.6.24, was eine Vielzahl an Sicherheitsupdates beinhaltet. Fehler, die es ermöglichten, Code mit Kernel-Rechten auszuführen, behebt Apple beim HSSPI-Support, der AppleEFIRuntime und Apple UUC. Systemrechte konnte eine App über einen  Fehler in AppleMobileFileInterity erlangen, ein Denial of Service-Angriff war auf die Application Firewall, cd9660, IDS und File Bookmark möglich. Weitere Angriffsmöglichkeiten betrafen ATS, Audio und Bluetooth. Zwei Fehler bei CFNetwork machten das Ausspähen des Surfverhaltens möglich, Fehler in CommonCyrpto und CoreCrypto das Anzeigen von verschlüsselten Inhalten und Ausführen von Programmcode. Ein Nutzer mit Screen Sharing-Zugriff konnten außerdem durch einen Verwaltungsfehler von CoreDisplay den Schreibtisch eines anderen Nutzers sehen. Über einen Zugriff auf die GlobalPreferences-Datei konnte man ebenso den Standort eines Nutzers erkennen. Mehrere Fehler in curl behebt ein Update auf Version 7.49.1. Das Ausführen von Code mit Systemrechten ermöglichte ein Fehler in DiskArbitration, eine präparierte Schriftdatei ermöglichte das Lesen von Prozesspeicher. Letzteres war auch durch einen Angriff auf das Modul IOAcceleratorFamily über eine präparierte Webseite möglich. Zwei weitere Fehler der IOAcceleratorFamily ermöglichten das Ausführen von Code mit Kernel-Rechten, ebenso ein Speicherfehler des Intel Graphics Driver. Betroffen war auch die Komponente IOThunderboltFamily. Die Existenz von Nutzer-Account konnte ein Angreiber über einen Fehler des Kerberos-Moduls feststellen. Ingesamt sechs Fehler behebt das Update beim Kernel, ebenso Speicherfehler bei libarchive, libxml2, libxslt und S2Camera. Sensible Daten ließen sich über mDNSResponder und NSSecureTextField auslesen, Fehler in signierten Diskimages ermöglicht das Ausführen von Code und die Nutzung von SecKeyDeriveFromPassword einen Speicherfehler. Fehlern in Teminal und WindowServer wurden ebenfalls korrigiert.

Sicherheitsupdates in Safari 10

Der Safari Reader war in alten Safari-Versionen per Cross Site Scripting angreifbar, was durch eine bessere Prüfung (Input Sanitization) behoben wird. Für sogenanntes Adress Bar Spoofing, das Anzeigen eine bestimmten Webadresse in der Adressleiste, war Safari ebenfalls anfällig. Ursache: Ein Fehler bei der Verwaltung von Tab-Sessions. Weitere sechs Fehler betreffen WebKit selbst: Ein Fehler bei der Rechteverwaltung ermöglichten das Auslesen sensibler Daten, außerdem konnte eine Webseite auf Nicht-HTTP-Dienste zugreifen. Das Eingreifen und Ändern von Netzwerkdaten war möglich, weitere Fehler ermöglichten das Ausführen von Code. Ursache waren Fehler im Umgang mit Zertifikaten, Speicherfehler und der Umgang mit so genannten Error Prototypes.

iOS 10.0.1

Das Update auf Version 10.0.1 bringt nur eine Neuerung: Ein Programm konnte auf den Kernelspeicher zugreifen, was durch eine verbesserte Eingabebereinigung behoben wird.

iOS 10

Die Systeme iOS 10 und macOS Sierra sind eng verbunden, so treten auch Sicherheitsprobleme auf beiden Systemen auf. Zusätzlich zu den auch in macOS Sierra korrigierten Fehlern behebt das Update folgende Schwächen:

Assets: Ein Angreifer in privilegierter Netzwerkposition (beispielsweise ein Hacker in einem Internet-Café) konnte ein Gerät hindern Softwareaktualisierungen zu ermpfangen, was durch den Wechsel zu HTTPS bei Softwareaktualisierungen behoben wird. Auch das Abfangen von E-Mail-Anmeldedaten war in einem solchen Netzwerk möglich, ein Problem mit dem Umgang mit Zertifikaten. Dies wird durch das Beenden nicht vertrauenswürdiger Verbindungen behoben wird.

Das Auslesen von Standortdaten war durch einen Berechtigungsfehler in PlaceData möglich, eine Berechtigungsprüfung behebt dies. Auch Tastaturen konnten vertrauliche Daten offenlegen, da vertraulichen Daten im Cachespeicher aufbewahrt wurden. Ein Problem mit Handoff konnt außerdem Nachrichten auf Geräten anzeigen, die nicht bei Nachrichten angemeldet waren. Ebenfalls korrigiert: Ein nicht verschlüsseltes Dokument konnte bei der Vorschauf von AirPrint auf eine temporäre Datei geschrieben werden. Außerdem sorgte ein Fehler bei der Zugriffkontrolle dafür, dass ein Schadprogramm den Empfänger von SMS bestimmen konnten.

Zusammen mit macOS Sierra ist eine neue Version von macOS Server erschienen. An Sicherheitslücken korrigiert Apple beim Apache-Modul eine unsichere Konfiguration der HTTP-Proxy-Variable, auch als HTTPoxy bekannt. Abgesichert hat Apple außerdem den ServerDocs Server, der durch bisher noch unterstützte RC4-Verschlüsselung gefährdet war.

WatchOS 3

Auch bei Apples Watch war das Auslesen von Standortdaten war durch einen Berechtigungsfehler in PlaceData möglich, eine Berechtigungsprüfung behebt dies .

Windows

Bei i Cloud für Windows 6.0 schließt Apple ebenfalls eine Sicherheitslücke in Webkit. Präparierte Webinhalte konnten Code ausführen, was Apple durch eine verbesserte Speicherverwaltung behebt.

0 Kommentare zu diesem Artikel
2222787