Patchen Sie Ihre Macs, Personen und Ihre Apple Watches und ältere iPhones, iPads und iPod Touches.
Apple hat gestern (26. September) ein Notfall-Update für Macs veröffentlicht, um einen Fehler zu beheben, der es einem "Remote-Angreifer…
Im Klartext bedeutet dies, dass ein Hacker über das Internet auf Ihren Mac zugreifen und bösartigen Code ausführen oder legitime Anwendungen schließen könnte. Unnötig zu sagen, dass das sehr schlecht ist.
Gestern wurden auch Patches für watchOS (5.3.2) und iOS 12 (12.4.2) veröffentlicht, um denselben Fehler zu beheben. Neue iPhones, iPads und iPods haben letzte Woche mit der Veröffentlichung von iOS 13 den Fix erhalten, aber viele ältere iOS-Geräte wie das iPhone 5s, 6 und 6 Plus müssen bei iOS 12 bleiben.
Die Mac-Patches gelten für die letzten drei Versionen von macOS – 10.14 Mojave, 10.13 High Sierra und 10.12 Sierra – aber Sie erhalten keine neue Versionsnummer für Ihren Build. Ältere, nicht unterstützte Versionen von macOS/OS X sind wahrscheinlich ebenfalls betroffen. (Wenn Sie noch eines davon ausführen, ist es Zeit für ein Update.)
Ein Rätsel lösen
Apple sagt nicht viel mehr über den Fehler, außer dass es sich um "eine Lese außerhalb der Grenzen handelt, die mit einer verbesserten Eingabevalidierung behoben wurde", wurde von den Google Project Zero-Forschern Samuel Groß und Natalie Silvanovich entdeckt und war erhielt die Common Vulnerability and Exposures (CVE)-Nummer CVE-2019-8641.
Es stellte sich jedoch heraus, dass die Schwachstelle mehrere Monate zurückreicht und lange nach der Behebung einer ähnlichen Reihe von Fehlern ungelöst blieb.
Heute Morgen (27. September) verband Paul Ducklin von Sophos die Punkte und stellte fest, dass dies der letzte von mehreren hauptsächlich iOS-Fehlern ist, die Groß und Silvanovich im Laufe des Sommers aufgedeckt haben, und der einzige dieser Fehler, der unerklärt und ungepatcht bleibt fast zwei Monate.
Sie erinnern sich vielleicht, dass Ende Juli eine Reihe von Apple Messages-Fehlern aufgedeckt wurden, die Apple größtenteils mit iOS 12.4 behoben hat. Einige der Fehler hätten es Hackern ermöglicht, iPhones zu übernehmen, indem sie einfach eine speziell gestaltete Nachricht senden.
Wie es üblich ist, erklärten die Forscher von Project Zero genau, wie die Fehler funktionierten, nachdem Apple iOS 12.4 veröffentlicht hatte. Aber sie hielten Informationen über einen Fehler zurück, weil sie der Meinung waren, dass iOS 12.4 ihn nicht vollständig behebt.
„Wir halten CVE-2019-8641 bis zum Ablauf der Frist zurück, da die Korrektur im Advisory die Sicherheitslücke nicht behoben hat“, schrieb Silvanovich am 29. Juli auf Twitter.
Der mysteriöse Fehler blieb noch zwei Monate lang ungeklärt, auch als Silvanovich und Groß ihre Recherchen auf die Straße brachten und ihre Ergebnisse auf der Black Hat-Sicherheitskonferenz im August präsentierten und als Apple iOS auf die Version 12.4.1 aktualisierte und eine "ergänzende" Update auf macOS Mojave 10.14.6.
Endlich vollständige Offenlegung
Jetzt, wo wirklich alles in Ordnung ist, ist die Katze aus dem Sack. Silvanovich hat die Details von CVE-2019-8641 am Montag (23. September) nach der Veröffentlichung von iOS 13 leise in einem Project Zero-Blog-Posting veröffentlicht.
Ihre Erklärung der Sicherheitsanfälligkeit ist für jeden, der sich mit der internen Funktionsweise von iOS nicht auskennt, unverständlich, aber sie bemerkte, dass "dieses Problem für Mac und iPad noch nicht behoben wurde, sondern aufgrund der Änderung in 12.4 jetzt nur eine lokale Sicherheitslücke ist". .1."
Vermutlich wurden diese lokalen Schwachstellen nun mit dem iOS 12.4.2-Update und den macOS-Patches behoben.
Bildnachweis: blackzheep/Shutterstock