Mel
Kürzlich sorgte Apple für jede Menge negativen Gesprächsstoff: Die mit jedem iPhone und iPad ausgelieferte Mail-App, die sicherlich bei vielen Nutzern im Einsatz ist, wies zwei gravierende Sicherheitslücken auf – und das bereits seit mindestens 2012. Seit iOS 6 war es Angreifern potentiell möglich, beliebigen Code im Rahmen der Mail-Anwendung auszuführen und so Schaden anzurichten.
Das gefährliche an diesen Sicherheitslücken: Je nach iOS-Version brauchte es dazu nicht einmal eine aktive Aktion des Nutzers. Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, stufte diese Schwachstellen daher auch als „besonders kritisch“ ein. Bei iOS 13 beispielsweise reichte laut BSI schon “das reine Empfangen einer schädlichen Mail, um die Schwachstelle auszulösen”, bei iOS 12 und älteren Betriebssystemen musste die entsprechende Mail auch vom User geöffnet werden.
Mit dem kürzlich von Apple veröffentlichten iOS-Update auf Version 13.5 sollten diese Sicherheitslücken nun behoben worden sein. Im Changelog zur Aktualisierung fand sich allerdings kein Hinweis auf die Behebung des Problems. Nun jedoch gibt es eine offizielle Bestätigung vom BSI im Artikel zur iOS-Mail-App. In der aktualisierten Fassung heißt es:
„Apple hat mit iOS 12.4.7, iOS 13.5 und iPadOS 13.5 Sicherheitsupdates bereitgestellt, die die Schwachstellen für alle betroffenen iOS-Versionen beheben. Aufgrund der Kritikalität der Schwachstellen empfiehlt das BSI, das jeweilige Sicherheitsupdate umgehend auf allen betroffenen Systemen einzuspielen. Die iOS-App ‚Mail‘ kann nach Einspielung des Updates wieder genutzt werden.“
Mit dem kürzlich veröffentlichten Update auf die iOS-Version 13.5 hat Apple gleichzeitig auch Verbesserungen bei FaceTime vorgenommen, das Entsperren von Face ID mit Gesichtsmaske vereinfacht sowie die gemeinsam mit Google entwickelte Corona-Tracing-Schnittstelle implementiert. Auch wir empfehlen euch die Aktualisierung auf Version 13.5 ausdrücklich, vor allem, wenn ihr regelmäßige Mail-User seid.
Freddy
„Nutzbar“ war die App auch vor dem Update ?.
Das sich jetzt mit 13.5 Apple und Bill Gates‘ Imperium (Corona App)
zusammentun gefällt mir garnicht.
13.5 kommt mir so lange es geht nicht auf die IPhone’s
@michael: Nicht dass es sonderlich interessieren würde ob du das Update durchführst oder nicht, aber das Bill Gates-Bashing im Zusammenhang mit Corona ist einfach nur lächerlich. Gute Besserung!
@zeroG: ich will keine Diskussion vom Zaum brechen, weil diese hier in diesem Blog nichts verloren hätte, aber ich sehe das völlig anders als du! Gute Besserung wünsche ich dir, sobald du dich hast impfen lassen!
@meer: Ich wurde schon als Kind geimpft und ich werde mich selbstverständlich auch wieder impfen lassen, sofern das erforderlich sein wird. Krank wurde ich dadurch nicht. So wie die überwältigende Mehrheit aller anderen auch. Euch Impfgegner kann man einfach nicht ernst nehmen. Es könnte einem ja egal sein, aber leider gefährdet ihr mit eurer hirnrissigen Wahnvorstellung nicht nur euch selbst.
Serien-Empfehlung: „Pandemie“ auf Netflix. Da wird abwechselnd gezeigt wie es ist, dass irgendwelche Mamis mit „ausgeruhtem“ Verstand vom Lande es sich und ihren armen Kindern zum kompletten Lebensinhalt gemacht haben, sich nicht impfen zu lassen, während sich anderswo auf der Welt humanitäre Ärzte sich jeden Abend in den Schlaf weinen, weil ihnen tagsüber wieder X Kinder unnötig unter den Fingern weggestorben sind, weil sie arm sind und nicht rechtzeitig geimpft werden konnten.
@zeroG: dein Kommentar belegt, dass du keine Ahnung hast, wovon du redest. Ich bin auch geimpft und kein Impfgegner! Und darum geht es auch gar nicht. Lies einfach mal nach, was ein RNA Impfstoff sein wird (bis jetzt gab es so einen Impfstoff noch nie) und was Ärzte dazu sagen. Wenn du das deinen Kindern geben willst, dann tun mir die Kids jetzt schon leid.
@meer: Du kannst daraus interpretieren was immer dir beliebt, du hast keine Ahnung was ich weiß und was nicht. Es gibt mehr als nur Gen verändernde Mittel. Aber diejenigen, die pauschal gegen Genmanipulation sind, sind geistig auf dem selben Niveau wie die Impfgegner.
Du weist aber schon, dass du eine entsprechende App installieren musst, damit die Schnittstelle ihren Zweck erfüllen kann?
Bitte bleibt beim Thema! Wenn ihr euch über sowas austauschen wollt, macht das doch bitte privat, per Mail oder wie auch immer. Hier ist es auf jeden Fall falsch. Um die Kommentare für unsere Nutzer brauchbar zu machen, werde ich hier in Zukunft genauer hingucken und was mit dem Thema so überhaupt nix zu tun hat und nur zum Anstacheln dient, entfernen.
@freddy: Allerdings solltet ihr genauer achten. Und zwar insbesondere darauf, aus welcher Quelle ihr abschreibt. Es haben sich schon bei Bekanntwerden des Mailbugs ein paar kundige Leute gemeldet (Sophos und andere), die in ihren Artikeln einen Faktencheck gemacht und die Lage nochmal ins rechte Licht gerückt haben. Aber ihr schreibt nun zum wiederholten Mal die Behauptungen von Zecops ab und selbst die sparen nicht mit Konjunktiven (könnte, potentiell gefährlich, etc.).
Bitte werdet nur nicht wie iFun…
Und wieder einmal verpasst Freddy es, in einer angespannten Situation seriös zu bleiben und „droht“ stattdessen mit Löschung von unliebsamen Kommentaren. Werd endlich erwachsen. Den zweiten Teil deines Kommentars hättest du dir sparen können (und sollen).
Möchte mal wissen wann die BSI wach wird bezüglich Stronhogg 2.0 und Android, scheint wohl etwas heftiger zu sein als das. Stilllegen ist da wohl angesagt.
Die einzig relevante Aussage in diesem Artikel ist, dass der Mail-Bug behoben ist. Alles andere sind die gleichen Texte wie vor 3 Wochen, die immer noch ungeprüft die nach wie vor unbelegten Behauptungen von Zecops wiederholen. Auch die Schnarchtruppe vom BSI weiß es wenig überraschend nicht besser.
Nochmal zusammengefasst: Der Bug konnte die Mail-App zum Absturz bringen. Alle darüber hinaus behaupteten Horrorszenarien wie beliebige Manipulationen von Mails (löschen, verändern, versenden, etc.) setzt die Fähigkeit voraus, beliebig Code ausführen zu können. Dagegen sind extra Mechanismen implementiert. Wie man Dinge wie ASLR überwinden kann, das hat Zecops freilich nicht gezeigt. Warum, dürfte klar sein.
Hier nochmal genauer für diejenigen, die mehr Details brauchen:
borncity.com/blog/2020/04/25/apple-bestreitet-richtigkeit-des-0-day-mail-bug-berichts/