Apple hat mehr als 50 Fehler in iOS 12.2 gepatcht, darunter eine Reihe von Fehlern in Webkit und eine Schwachstelle, die es Apps ermöglicht, heimlich auf Benutzer zu hören.
Apple hat 51 als schwerwiegend eingestufte Schwachstellen mit seinem iOS-Update (12.2) gepatcht. Einer der gravierendsten Fehler könnte es Anwendungen ermöglichen, heimlich auf Endbenutzer zu hören.
Die iOS-Sicherheitsupdates von Apple, die am Montag während der Produktankündigung im März angekündigt wurden, betreffen das iPhone 5s und später, das iPad Air und später und den iPod touch der 6. Der Telefonhersteller gab auch Sicherheitsupdates für andere Produkte wie iTunes, Safari, MacOS und iCloud bekannt.
Die lauschende iOS-Schwachstelle bestand in ReplayKit, das es Spieleentwicklern ermöglicht, Spielern die Möglichkeit zu geben, das Spiel auf einfache Weise aufzuzeichnen und weiterzugeben. Die Schwachstelle (CVE-2019-8566) ist auf ein API-Problem bei der Handhabung von Mikrofondaten zurückzuführen und könnte einer bösartigen Anwendung den heimlichen Zugriff auf das Mikrofon des Benutzers ermöglichen. "Ein API-Problem bestand in der Handhabung von Mikrofondaten", so Apples Aktualisierung. "Dieses Problem wurde mit einer verbesserten Validierung angegangen", hieß es darin.
In der Zwischenzeit wurden 19 der iOS-Schwachstellen der Telefonhersteller in der Webkit-Browser-Engine entdeckt, die von Safari, Mail, App Store und anderen Anwendungen auf MacOS, iOS und Linux verwendet wird.
Zu diesen Schwachstellen gehörten mehrere Speicherbeschädigungen, die bei der Änderung von Speicherplatzinhalten auftreten, die die Absicht der Programmkonstrukte übersteigen und möglicherweise zu böswilligen Aktionen wie der Ausführung von beliebigem Code führen.
Die iOS-Speicherbeschädigungsprobleme (CVE-2019-6201, CVE-2019-8518, CVE-2019-8523, CVE-2019-8524, CVE-2019-8558, CVE-2019-8559, CVE-2019-8563, CVE-2019-8562, CVE-2019-8536, CVE-2019-8544, CVE-2019-8535) könnten es schlechten Darstellern ermöglichen, bösartig gestaltete Webinhalte zu verarbeiten. Das könnte zu einer willkürlichen Codeausführung auf anfälligen Geräten führen oder es einem Gegner ermöglichen, Sandbox-Einschränkungen zu umgehen.
Eine weitere Verwundbarkeit (CVE-2019-6222) - die auf ein "Konsistenzproblem" zurückzuführen ist - könnte es einer Website ermöglichen, auf das Mikrofon zuzugreifen, ohne dass die Anzeige der Mikrofonverwendung angezeigt wird. Dies wurde laut Apple "mit verbesserter Zustandsbehandlung" angegangen.
Apple enthüllte auch ein Logikproblem (CVE-2019-8551), das dazu führen könnte, dass Angreifer böswillig gestaltete Webinhalte erstellen, die zu universellem Cross-Site-Scripting führen könnten; ein ursprungsübergreifendes Problem in der Fetch-API von Webkit (CVE-2019-8515), das sensible Benutzerinformationen offenlegen könnte; und zwei Verwendungen nach freien Fehlern (CVE-2019-7285 und CVE-2019-8556), die eine beliebige Codeausführung ermöglichen könnten.