Mystery iPhone-opdateringsrettelser mod iOS 16 mail-nedbrudsangreb

Vi bruger Apples Mail-app hele dagen, hver dag til håndtering af arbejde og personlige e-mails, inklusive en rigelig forsyning af meget velkomne Naked Security-kommentarer, spørgsmål, artikelideer, slåfejlrapporter, podcastforslag og meget mere.

(Bliv ved med at komme – vi får langt flere positive og nyttige beskeder om, at vi får trolde, og vi elsker at holde det sådan: tips@sophos.com er, hvordan du når os.)

Vi har altid syntes, at Mail-appen er en meget nyttig arbejdshest, der passer os godt: den er ikke særlig fancy; den er ikke fuld af funktioner, vi aldrig bruger; det er visuelt enkelt; og (i hvert fald indtil videre) har den været stædigt pålidelig.

Men der må have været et alvorligt problem under opsejling i den seneste version af appen, for Apple netop skubbet ud en en-bug sikkerhedsrettelse til iOS 16, der tager versionsnummeret til iOS 16.0.3, og rette en sårbarhed, der er specifik for Mail:

En og kun én fejl er angivet:

Virkning: Behandling af en ondsindet e-mail-meddelelse kan føre til et lammelsesangreb. Beskrivelse: Et inputvalideringsproblem blev løst med forbedret inputvalidering. CVE-2022-22658

"One-bug" bulletiner

Vores erfaring er, at "one-bug"-sikkerhedsbulletiner fra Apple, eller i det mindste N-bug-bulletiner for lille N, er undtagelsen snarere end reglen, og de ser ofte ud til at ankomme, når der er en klar og tilstedeværende fare, såsom et jailbreakable nul -dag udnytte eller udnytte sekvens.

Måske den bedst kendte seneste nødopdatering af denne slags var en dobbelt nul-dages fix i august 2022, der patchede mod et to-løbet angreb bestående af et eksternt kodeudførelseshul i WebKit (en vej ind) efterfulgt af et lokalt kodeudførelseshul i selve kernen (en måde at overtage fuldstændigt):

Disse fejl blev officielt opført, ikke kun som kendt for udenforstående, men også som værende under aktivt misbrug, formentlig for at implantere en slags malware, der kunne holde styr på alt, hvad du gjorde, såsom at snuse efter alle dine data, tage hemmelige skærmbilleder, lytte med til telefonopkald og tage billeder med dit kamera.

Omkring to uger senere gled Apple endda ud af en uventet opdatering til iOS 12, en gammel version, som de fleste af os antog var faktisk "abandonware", efter at have været påfaldende fraværende fra Apples officielle sikkerhedsopdateringer i næsten et år før det:

(Tilsyneladende var iOS 12 påvirket af WebKit-fejlen, men ikke af det efterfølgende kernehul, der gjorde angrebskæden meget værre på nyere Apple-produkter.)

Denne gang er der dog ingen omtale af, at fejlen blev rettet i opdateringen til iOS 16.0.3 blev rapporteret af nogen uden for Apple, ellers ville vi forvente at se finderen nævnt i bulletinen, selvom det kun var som "en anonym forsker".

Der er heller ikke noget, der tyder på, at fejlen måske allerede er kendt af angribere og derfor allerede bliver brugt til fortræd eller endnu værre...

…men Apple synes ikke desto mindre, at det er en sårbarhed, der er værd at udsende en sikkerhedsbulletin om.

Du har post, fik post, fik post...

Såkaldte lammelsesangreb (DoS) eller styrte-mig-efter-vilje bugs betragtes ofte som letvægterne i sårbarhedsscenen, fordi de generelt ikke giver angribere en vej til at hente data, de ikke skal se, eller til at erhverve adgangsrettigheder, de ikke burde have, eller til at køre ondsindet kode efter eget valg.

Men enhver DoS-fejl kan hurtigt blive til et alvorligt problem, især hvis det bliver ved med at ske igen og igen, når det først udløses.

Den situation kan nemt opstå i meddelelsesapps, hvis blot adgangen til en booby-fanget besked styrter appen, fordi du typisk skal bruge appen til at slette den besværlige besked...

…og hvis nedbruddet sker hurtigt nok, får du aldrig tid nok til at klikke på skraldespandsikonet eller til at swipe-slette den stødende besked, før appen går ned igen og igen og igen.

Adskillige historier er dukket op i årenes løb om iPhone "text-of-death" scenarier af denne slags, herunder:

Selvfølgelig er det andet problem med det, vi i spøg omtaler som CRASH: GOTO CRASH fejl i beskedapps er, at andre mennesker kan vælge, hvornår de vil sende en besked til dig, og hvad der skal skrives i beskeden...

…og selvom du bruger en form for automatiseret filtreringsregel i appen til at blokere meddelelser fra ukendte eller ikke-pålidelige afsendere, vil appen typisk skulle behandle dine meddelelser for at beslutte, hvilke du skal slippe af med.

(Bemærk, at denne fejlrapport eksplicit henviser til et nedbrud pga "behandler en ondsindet e-mail-meddelelse".)

Derfor kan appen gå ned alligevel, og kan blive ved med at gå ned, hver gang den genstarter, da den forsøger at håndtere de beskeder, den ikke formåede at håndtere sidste gang.

Hvad skal jeg gøre?

Uanset om du har slået automatiske opdateringer til eller ej, skal du gå til Indstillinger > Generelt > softwareopdatering for at tjekke efter (og om nødvendigt installere) rettelsen.

Den version du vil se efter opdateringen er iOS 16.0.3 eller senere.

I betragtning af at Apple har udsendt en sikkerhedsrettelse til denne ene DoS-fejl alene, gætter vi på, at noget forstyrrende kan være på spil, hvis en angriber skulle finde ud af denne.

For eksempel kan du ende med en knap brugbar enhed, som du skal tørre fuldstændigt af og genoplade for at genoprette den til en sund funktion...

---

LÆR MERE OM SÅRBARHEDER

---