Wir verwenden die Mail-App von Apple den ganzen Tag, jeden Tag, um geschäftliche und private E-Mails zu bearbeiten, einschließlich einer Fülle von sehr willkommenen Naked Security-Kommentaren, Fragen, Artikelideen, Tippfehlerberichten, Podcast-Vorschlägen und vielem mehr.
(Weiter so – wir erhalten viel mehr positive und nützliche Nachrichten als Trolle, und wir möchten, dass dies so bleibt: tips@sophos.com So erreichen Sie uns.)
Wir haben die Mail-App immer als sehr nützliches Arbeitstier empfunden, das gut zu uns passt: Sie ist nicht besonders schick; es ist nicht voll von Funktionen, die wir nie verwenden; es ist visuell einfach; und (jedenfalls bisher) war es verbissen zuverlässig.
Aber es muss ein ernsthaftes Problem in der neuesten Version der App gegeben haben, weil Apple gerade ausgestossen ein One-Bug-Sicherheitspatch für iOS 16, der die Versionsnummer annimmt iOS 16.0.3, und das Beheben einer Mail-spezifischen Schwachstelle:
Ein und nur ein Fehler wird aufgelistet:
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten E-Mail-Nachricht kann zu einem Denial-of-Service führen. Beschreibung: Ein Eingabevalidierungsproblem wurde durch eine verbesserte Eingabevalidierung behoben. CVE-2022-22658
„One-Bug“-Bulletins
Unserer Erfahrung nach sind „One-Bug“-Sicherheitsbulletins von Apple oder zumindest N-Bug-Bulletins für kleine N eher die Ausnahme als die Regel und scheinen oft einzutreffen, wenn eine klare und gegenwärtige Gefahr besteht, wie z. B. eine Jailbreak-fähige Null -Tages-Exploit oder Exploit-Sequenz.
Das vielleicht bekannteste aktuelle Notfall-Update dieser Art war a doppelter Zero-Day-Fix im August 2022, der gegen einen zweiläufigen Angriff gepatcht wurde, der aus einer Remote-Code-Ausführungslücke in WebKit (ein Weg hinein) gefolgt von einer lokalen Code-Ausführungslücke im Kernel selbst (eine Möglichkeit, vollständig zu übernehmen) besteht:
Diese Fehler wurden offiziell nicht nur als Außenstehenden bekannt aufgeführt, sondern auch als aktiv missbraucht, vermutlich weil sie eine Art Malware implantiert haben, die alles, was Sie tun, im Auge behalten könnte, wie z zu telefonieren und Bilder mit Ihrer Kamera aufzunehmen.
Etwa zwei Wochen später rutschte Apple sogar eine heraus unerwartete Aktualisierung für iOS 12, eine alte Version, von der die meisten von uns annahmen, dass sie effektiv „Abandonware“ sei, da sie fast ein Jahr zuvor auffällig in den offiziellen Sicherheitsupdates von Apple fehlte:
(Anscheinend war iOS 12 vom WebKit-Bug betroffen, aber nicht von der nachfolgenden Kernel-Lücke, die die Angriffskette auf neuere Apple-Produkte erheblich verschlimmerte.)
Diesmal wird jedoch nicht erwähnt, dass der Fehler im Update behoben wurde iOS 16.0.3 von jemandem außerhalb von Apple gemeldet wurde, sonst würden wir erwarten, dass der Finder im Bulletin genannt wird, wenn auch nur als „ein anonymer Forscher“.
Es gibt auch keinen Hinweis darauf, dass der Fehler Angreifern bereits bekannt sein könnte und daher bereits für Unheil oder Schlimmeres verwendet wird …
…aber Apple scheint trotzdem zu denken, dass es sich lohnt, ein Sicherheitsbulletin über diese Schwachstelle herauszugeben.
Du hast Post, Post, Post…
Sogenannt Denial of Service (DoS) bzw Zerschmettere mich nach Belieben Fehler werden oft als die Leichtgewichte der Schwachstellenszene angesehen, weil sie Angreifern im Allgemeinen keinen Weg bieten, Daten abzurufen, die sie nicht sehen sollten, oder sich Zugriffsrechte zu verschaffen, die sie nicht haben sollten, oder bösartigen Code auszuführen nach eigener Wahl.
Aber jeder DoS-Fehler kann schnell zu einem ernsthaften Problem werden, besonders wenn er immer wieder auftritt, sobald er zum ersten Mal ausgelöst wird.
Diese Situation kann leicht in Messaging-Apps auftreten, wenn der einfache Zugriff auf eine mit Sprengfallen versehene Nachricht die App zum Absturz bringt, weil Sie normalerweise die App verwenden müssen, um die problematische Nachricht zu löschen …
… und wenn der Absturz schnell genug passiert, haben Sie nie genug Zeit, um auf das Mülleimer-Symbol zu klicken oder die anstößige Nachricht zu löschen, bevor die App wieder und wieder und wieder abstürzt.
Im Laufe der Jahre sind zahlreiche Geschichten über iPhone-„Text-of-Death“-Szenarien dieser Art erschienen, darunter:
Natürlich das andere Problem mit dem, was wir scherzhaft nennen CRASH: GOTO CRASH Fehler in Messaging-Apps ist, dass andere Personen auswählen können, wann sie Ihnen eine Nachricht senden und was sie in die Nachricht einfügen möchten …
… und selbst wenn Sie in der App eine Art automatisierte Filterregel verwenden, um Nachrichten von unbekannten oder nicht vertrauenswürdigen Absendern zu blockieren, muss die App Ihre Nachrichten normalerweise verarbeiten, um zu entscheiden, welche entfernt werden sollen.
(Beachten Sie, dass sich dieser Fehlerbericht ausdrücklich auf einen Absturz aufgrund von „Verarbeiten einer in böser Absicht erstellten E-Mail-Nachricht“.)
Daher kann die App trotzdem abstürzen und bei jedem Neustart weiter abstürzen, da sie versucht, die Nachrichten zu verarbeiten, die sie beim letzten Mal nicht verarbeiten konnte.
Was ist zu tun?
Unabhängig davon, ob Sie automatische Updates aktiviert haben oder nicht, gehen Sie zu Einstellungen > Allgemeines > Software-Update um nach dem Fix zu suchen (und ihn gegebenenfalls zu installieren).
Die Version, die Sie nach dem Update sehen möchten, ist iOS 16.0.3 oder höher.
Angesichts der Tatsache, dass Apple allein für diesen einen DoS-Bug einen Sicherheitspatch herausgebracht hat, vermuten wir, dass etwas Störendes auf dem Spiel stehen könnte, wenn ein Angreifer diesen herausfindet.
Zum Beispiel könnten Sie am Ende ein kaum brauchbares Gerät haben, das Sie vollständig löschen und neu flashen müssten, um es wieder in den normalen Betrieb zu versetzen …
ERFAHREN SIE MEHR ÜBER SCHWACHSTELLEN
Klicken und ziehen Sie auf die unten stehenden Schallwellen, um zu einem beliebigen Punkt zu springen. Du kannst auch direkt zuhören auf Soundcloud.
- Apple
- Blockchain
- Einfallsreichtum
- Absturz des Todes
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- CVE-2022-22658
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- iOS
- Kaspersky
- Malware
- McAfee
- Nackte Sicherheit
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- VPN
- Verwundbarkeit
- Website-Sicherheit
- Zephyrnet
![S3 Ep123: Kryptounternehmen kompromittiert Kerfuffle [Audio + Text]](https://platoaistream.net/wp-content/uploads/2023/02/s3-ep123-crypto-company-compromise-kerfuffle-audio-text-360x188.png)