Apple patcht „0-day“-Browserfehler, der vor 2 Wochen in Chrome, Edge behoben wurde

Apple hat seine neuesten Patches degorgiert und mehr als 50 CVE-nummerierte Sicherheitslücken in seiner Palette unterstützter Produkte behoben.

Die relevanten Security Bulletins, Update-Nummern und wo sie online zu finden sind, lauten wie folgt:

• APPLE-SA-2022-07-20-1: iOS 15.6 und iPadOS 15.6, Details unter HT213346
• APPLE-SA-2022-07-20-2: macOS Monterey 12.5, Details unter HT213345
• APPLE-SA-2022-07-20-3: macOS Big Sur 11.6.8, Details unter HT213344
• APPLE-SA-2022-07-20-4: Sicherheitsupdate 2022-005 Catalina, Details unter HT213343
• APPLE-SA-2022-07-20-5: tvOS 15.6, Details unter HT213342
• APPLE-SA-2022-07-20-6: watchOS 8.7, Details unter HT213340
• APPLE-SA-2022-07-20-7: Safari 15.6 Details unter HT213341

Wie bei Apple üblich, werden die Safari-Browser-Patches in die Updates für das neueste macOS (Monterey) sowie in die Updates für iOS und iPad OS gebündelt.

Aber die Updates für die älteren Versionen von macOS enthalten Safari nicht, also muss das eigenständige Safari-Update (siehe HT213341 oben) gilt daher für Benutzer früherer macOS-Versionen (sowohl Big Sur als auch Catalina werden weiterhin offiziell unterstützt), die zwei Updates herunterladen und installieren müssen, nicht nur eines.

Ein ehrenvoller Zero-Day

Übrigens, wenn Sie einen Mac mit einer früheren Version von macOS haben, Vergessen Sie nicht den zweiten Download für Safari, weil es von entscheidender Bedeutung ist, zumindest soweit wir sehen können.

Das liegt daran, dass einer der browserbezogenen Patches in dieser Update-Runde eine Schwachstelle in WebRTC (Web-Echtzeitkommunikation) bekannt als CVE-2022-2294...

… und wenn Ihnen diese Zahl bekannt vorkommt, sollte sie das auch, denn es ist derselbe Fehler wie damals als Zero-Day festgelegt von Google in Chrome (und von Microsoft in Edge) vor etwa zwei Wochen:

Interessanterweise hat Apple trotz des oben erwähnten Patches, der von Google als Zero-Day-Loch bezeichnet wurde, keine der Sicherheitslücken dieses Monats als „in freier Wildbahn gemeldet“ oder als „Zero-Day-Bugs“ deklariert.

Ob das daran liegt, dass der Fehler in Safari nicht so einfach auszunutzen ist, oder einfach daran, dass niemand Safari-spezifisches Fehlverhalten auf diesen speziellen Fehler zurückgeführt hat, können wir Ihnen nicht sagen, aber wir behandeln es als „ehrenhalber“. Zero-Day“-Schwachstelle und infolgedessen eifrig patchen.

Pwn2Eigenes Loch geschlossen

Apple hat offenbar auch den Fehler behoben, der vom deutschen Cybersicherheitsforscher Manfred Paul beim jüngsten Pwn2Own-Wettbewerb in Kanada im Mai 2022 gefunden wurde.

Neuester Podcast 🎧 Jetzt anhören! Firefox & Pwn2Own, Apple und ein 0-Day… und die Mathematik, die Pythagoras besiegte.https://t.co/HDrZPQzlAQ pic.twitter.com/DxgdC8VM1j

— Nackte Sicherheit (@NakedSecurity) 20. Mai 2022

Manfred Paul nutzte Firefox mit einem zweistufigen Fehler aus, der ihm 100,000 US-Dollar (50,000 US-Dollar für jeden Teil) einbrachte, und stieg auch in Safari ein, um weitere 50,000 US-Dollar Prämie zu erhalten.

Tatsächlich hat Mozilla seinen Fix für Pauls Fehler veröffentlicht innerhalb von zwei Tagen seinen Bericht bei Pwn2Own zu erhalten:

Apple hingegen brauchte zwei Monate, um seinen Post-Pwn2Own-Patch auszuliefern:

WebKit

Einfluss: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem beim Schreiben außerhalb der Grenzen wurde durch eine verbesserte Eingabevalidierung behoben.

CVE-2022-32792: Manfred Paul (@_manfp) arbeitet mit Trend Micro Zero Day Initiative [Pwn2Own]

Denken Sie jedoch daran, dass die verantwortungsbewusste Offenlegung Teil des Pwn2Own-Wettbewerbs ist, was bedeutet, dass jeder, der einen Preis beansprucht, nicht nur alle Details seines Exploits an den betroffenen Anbieter weitergeben, sondern auch über die Schwachstelle schweigen muss, bis der Patch herauskommt .

Mit anderen Worten, so lobenswert und aufregend Mozillas zweitägige Patch-Lieferzeit auch gewesen sein mag, Apples viel langsamere Reaktion ist nichtsdestoweniger akzeptabel.

Die Live-Videostreams, die Sie vielleicht von Pwn2Own gesehen haben, dienten dazu, anzuzeigen, ob der Angriff jedes Konkurrenten erfolgreich war, und nicht, um Informationen darüber preiszugeben, wie der Angriff tatsächlich funktionierte. Die von den Wettkämpfern verwendeten Videodisplays standen mit dem Rücken zur Kamera, sodass man die Gesichter der Wettkämpfer und Juroren sehen konnte, aber nicht, was sie tippten oder ansahen.

Mehrstufige Angriffe

Wie üblich enthalten die zahlreichen Fehler, die Apple in diesen Updates gepatcht hat, Schwachstellen, die theoretisch von entschlossenen Angreifern miteinander verkettet werden könnten.

Ein Fehler, der mit der Maßgabe aufgeführt wird, dass „Eine App mit Root-Rechten kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen.“ Klingt erstmal nicht sonderlich besorgniserregend.

Denn wenn ein Angreifer bereits über Root-Rechte verfügt, hat er ohnehin so ziemlich die Kontrolle über Ihren Computer.

Aber wenn Sie an anderer Stelle im System einen Fehler bemerken, der mit der Warnung that „Eine App kann möglicherweise Root-Rechte erlangen“, können Sie sehen, wie die letztere Schwachstelle ein bequemes und nicht autorisiertes Sprungbrett für die erstere sein könnte.

Und wenn Sie auch einen Bildwiedergabefehler bemerken, der als beschrieben wird „Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung willkürlichen Codes führen“, das sieht man schnell:

• Eine mit Sprengfallen versehene Webseite könnte ein Bild enthalten, das startet nicht vertrauenswürdigen Code.
• Dieser nicht vertrauenswürdige Code könnte implantieren Sie eine App mit geringen Berechtigungen.
• Die unerwünschte App könnte Wurzelkräfte für sich erwerben.
• Die Now-Root-App könnte seinen eigenen Schurkencode in den Kernel einschleusen.

Mit anderen Worten, zumindest theoretisch, einfach nur eine scheinbar harmlose Website anschauen …

…könnte Sie in eine Kaskade von Schwierigkeiten stürzen, genau wie das berühmte Sprichwort sagt: „Aus Mangel an einem Nagel ging der Schuh verloren; aus Mangel an einem Schuh war das Pferd verloren; aus Mangel an einem Pferd ging die Nachricht verloren; aus Mangel an einer Nachricht war die Schlacht verloren … alles aus Mangel an einem Hufeisennagel.“

Was ist zu tun?

Aus diesem Grund empfehlen wir Ihnen wie immer, frühzeitig zu patchen. oft patchen; alles patchen.

Man muss Apple zugute halten, dass das Patchen von allem zum Standard wird: Sie können nicht auswählen, welche Patches bereitgestellt und welche „für später“ aufgehoben werden sollen.

Die einzige Ausnahme von dieser Regel ist, wie oben erwähnt, dass Sie für macOS Big Sur und macOS Catalina den Großteil der Betriebssystem-Updates in einem riesigen Download erhalten, gefolgt von einem separaten Download- und Update-Prozess zur Installation neueste Version von Safari.

Wie gewöhnlich:

• Auf Ihrem iPhone oder iPad: Einstellungen > Allgemeines > Software-Update
• Auf deinem Mac: Apple-Menü > Über diesen Mac > Software-Update…

---