Apple patcht Pwn2Own-Sicherheitslücken in Safari, macOS und iOS

Apple hat am vergangenen Montag 66 Sicherheitslücken innerhalb von sieben Produktlinien gepatcht, unter anderem in Safari, iTunes, macOS und iOS.

Viele dieser Patches, insbesondere für macOS und Safari, korrigieren Sicherheitslücken, die bei dem Hackerwettbewerb Pwn2Own aufgedeckt wurden, der alljährlich auf der Sicherheitskonferenz CanSecWest abgehalten wird. Die Kandidaten verdienten bei dem Wettbewerb im März zusammen 143.000 US-Dollar für das Aufspüren von Löchern in Apple-Produkten.

Der Großteil der Patches vom vergangenen Montag bezieht sich auf Speicherkorruptionslücken in WebKit, von denen viele zur Ausführung von Code führen können. Die Webbrowser-Engine spielt eine Rolle bei Safari und iOS, ebenso wie bei iCloud für Windows, iTunes für Windows, tvOS und watchOS, die alle am Montag ein Update erhielten.

Lokihardt, ein einmaliger Pwn2Own-Hacker und nun Teil des Project Zero von Google, hat sieben der WebKit-Bugs und 13 Sicherheitslücken in Safari insgesamt gefunden.

Zwei deutsche Hacker, Samuel Groß und Niklas Baumstark, sind für das Aufspüren von fünf Bugs verantwortlich, darunter eine Sicherheitslücke in WebKit, ein Bug in DiskArbitration und drei Sandbox-Escape-Bugs im Sprachframework des Betriebssystems und Sicherheitsfeatures. Die Hacker förderten bei Pwn2Own eine Use-after-free-Sicherheitslücke in Safari zutage, drei logische Fehler und eine Null-Pointer-Dereferenzierung zur Ausnutzung von Safari und Erhöhung auf Root-Rechte in macOS. Als Teil ihrer Attacke waren die Hacker in der Lage, eine bestimmte Nachricht über der Touch Bar eines MacBooks Pro anzuzeigen: „PWNED BY NIKLASB & SAELO“.

Das macOS-Update beseitigt auch eine Reihe von Bugs in WindowServer, einer Komponente, die Anfragen zwischen OS X-Apps und der Grafikhardware der Maschine verwaltet, die ebenfalls auf der Pwn2Own entdeckt wurden. Die Hacker nutzten eine Use-after-free-Lücke in der Komponente aus, vier Type-Confusion-Bugs in Safari und ein Informationsleck im Browser, um Rootzugriff auf macOS zu erhalten. Das Update für macOS beseitigt auch WindowServer-Bugs, die von Richard Zhu und dem Team Sniper (Keen Lab und PC Manager) im Rahmen des Wettbewerbs Pwn2Own gefunden wurden.

Laut Apple hätten 11 der gestopften Sicherheitslücken in iOS Ausführung von Code nach sich ziehen können, entweder durch eine App, ein bösartig zurechtgeschneidertes Stücken Webcontent oder eine SQL-Abfrage. Sieben Bugs in macOS hätten für die Ausführung von willkürlichem Code genutzt werden können. Eine dieser Sicherheitslücken, die von Ian Beer von Google ans Tageslicht befördert wurde, hätte eine App in die Lage versetzen können, willkürlichen Code mit Kernelprivilegien auszuführen.

Die Updates haben außerdem ein fieses Kernel-Informationsleck geschlossen (CVE-2017-6987), das der Forschungsleiter bei Synack, Patrick Wardle, entdeckt hat. Der Bug, der bereits im April detailliert von Wardle beschrieben wurde, bestand in macOS 10.12.3, aber auch in iOS, Apple TV (tvOS) und Apple Watch (watchOS). Wardle nannte die Sicherheitslücke damals eine „ungepatchte 0-Day“, betonte aber gleichzeitig, dass ein System die Überprüfung von Dateizugriff aktiviert haben müsse.

Apple patcht Pwn2Own-Sicherheitslücken in Safari, macOS und iOS

Vier Bugs in SQLite, einer Plattform-übergreifenden C-Bibliothek, die eine SQL-Engine in iOS, tvOs und watchOS unterstützt, wurden ebenfalls gefixt. Diese Sicherheitslücken wurden von OSS-Fuzz gefunden, einem Google-Programm, das seit Dezember Open Source Software fortwährend auf Schwachstellen abklopft. Laut Google hat das Programm in den letzten fünf Monaten mehr als 1.000 Löcher in Open Source Software gefunden, doch diese sind die ersten, die von Apple geflickt werden müssen.

Apples Freigabemitteilung zufolge dient das iOS-Update in erster Linie der Fehlerbehebung und der Verbesserung des Betriebssystems. Doch das Update für macOS beseitigt auch ein Problem, das beim Abspielen von Audio via USB-Kopfhörer auftrat und die Kompatibilität von macOS mit dem Apple App Store verbessert.

Die Zahl der Updates ist deutlich geringer als das letzte Mal, als die Produkte von Apple aktualisiert wurden. Im März stopfte das Unternehmen 223 Sicherheitslücken, ein Viertel von denen die Ausführung von willkürlichem Code ermöglicht hätte. Das Update erfolgte auf die Versionen iOS 10.3.2, macOS Sierra 10.12.5, watchOS 3.2.2, tvOS 10.2.1, iCloud für Windows 6.2.1, Safari 10.1.1, iTunes für Windows 12.6.1.

Laut der Zero Day Initiative, die einen Beitrag dazu leistet, Pwn2Own mit Trend Micro auf eine Ebene zu stellen, wurden 35 Prozent der Sicherheitslücken, die Apple diese Woche gefixt hat, im Rahmen des Wettbewerbs gefunden.

Dustin Childs, der innerhalb der Zero Day Initiative für die Kommunikation zuständig ist, rekapitulierte die Sicherheitslücken in einem Blogeintrag am letzte Dienstag und wies darauf hin, dass sich schädliche Ereignisse in der echten Welt, wie es der Ausbruch der WannaCry-Malware eines war, effektiv durch richtiges Patch-Management vermeiden lassen.

„Apple gibt es nicht preis, wenn irgendeins dieser Probleme öffentlich bekannt oder aktiv angegriffen wird, doch wie die jüngsten Ereignisse in der echten Welt gezeigt haben, ist rechtzeitiges Patchen enorm wichtig“, schreibt Childs. „Das muss nicht immer einfach sein, gerade, wenn die Patches nicht unbedingt mit großem Tamtam herausgebracht werden. Doch wendet man diese Updates nicht an, so könnte sich das in den darauffolgenden Monaten als teuer erweisen.“

Die Updates wurden einen Tag vor Apples Ankündigung veröffentlicht, das Unternehmen würde künftig hart gegen Apps von Drittanbietern durchgreifen, die auf Nutzerdaten in der iCloud zugreifen, wie etwa Microsoft Outlook. In einer E-Mail vom Apple-Support am frühen Dienstagmorgen hieß es, die Nutzer müssten ab dem 15. Juni App-spezifische Passwörter für die entsprechenden Anwendungen einrichten.

Die Sicherheitsmaßnahme verfügt im Wesentlichen, dass die Nutzer von nicht nativen Apps Zwei-Faktoren-Authentifizierung für Apps anwenden, die auf die iCloud zugreifen können, wie z.B. Outlook und Mozilla Thunderbird.

„Wenn Sie sich bereits mit Ihrer Apple-ID bei einer App eines Drittanbieters angemeldet haben, so werden sie automatisch abgemeldet, sobald diese Änderung wirksam wird. Sie werden dann ein App-spezifisches Passwort erstellen und sich erneut anmelden müssen“, heißt es in der E-Mail.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.