Mystery iPhone-updatepatches tegen iOS 16-mailcrash-aanval

We gebruiken Apple's Mail-app de hele dag, elke dag voor het afhandelen van zakelijke en persoonlijke e-mail, inclusief een overvloedige hoeveelheid zeer welkome Naked Security-opmerkingen, vragen, artikelideeën, typfoutrapporten, podcast-suggesties en nog veel meer.

(Blijf maar komen - we krijgen veel positievere en nuttigere berichten dat we trollen krijgen, en dat willen we graag zo houden: tips@sophos.com is hoe u ons kunt bereiken.)

We hebben de Mail-app altijd een zeer nuttig werkpaard gevonden dat goed bij ons past: het is niet bijzonder luxe; het zit niet vol met functies die we nooit gebruiken; het is visueel eenvoudig; en (tot nu toe in ieder geval), het is hardnekkig betrouwbaar geweest.

Maar er moet een serieus probleem zijn ontstaan ​​in de nieuwste versie van de app, want Apple heeft gewoon uitgedrukt een beveiligingspatch met één fout voor iOS 16, waarbij het versienummer naar iOS 16.0.3, en het oplossen van een kwetsbaarheid die specifiek is voor Mail:

Er wordt één en slechts één bug vermeld:

Impact: het verwerken van een kwaadwillig vervaardigd e-mailbericht kan leiden tot een denial-of-service Beschrijving: een invoervalidatieprobleem is verholpen door een verbeterde invoervalidatie. CVE-2022-22658

"One-bug" bulletins

In onze ervaring zijn "one-bug" beveiligingsbulletins van Apple, of in ieder geval N-bugbulletins voor kleine N, eerder uitzondering dan regel, en lijken ze vaak te arriveren wanneer er een duidelijk en aanwezig gevaar is, zoals een jailbreakable nul -day exploit of exploit-volgorde.

Misschien was de bekendste recente noodupdate van dit soort een dubbele zero-day fix in augustus 2022 die een patch uitbracht tegen een aanval met twee vaten die bestond uit een code-uitvoeringsgat op afstand in WebKit (een manier om binnen te komen) gevolgd door een lokaal code-uitvoeringsgat in de kernel zelf (een manier om het volledig over te nemen):

Die bugs werden niet alleen officieel vermeld als bekend bij buitenstaanders, maar ook als actief misbruikt, vermoedelijk voor het implanteren van een soort malware die alles wat je deed in de gaten kon houden, zoals snuffelen in al je gegevens, geheime screenshots maken, meeluisteren telefoneren en foto's maken met uw camera.

Ongeveer twee weken later gleed Apple zelfs uit een... onverwachte update voor iOS 12, een oude versie waarvan de meesten van ons aannamen dat deze in feite "abandonware" was, die bijna een jaar daarvoor opvallend afwezig was in de officiële beveiligingsupdates van Apple:

(Blijkbaar werd iOS 12 beïnvloed door de WebKit-bug, maar niet door het daaropvolgende kernelgat dat de aanvalsketen veel erger maakte op recentere Apple-producten.)

Deze keer wordt er echter niet vermeld dat de bug in de update is gepatcht naar iOS 16.0.3 werd gemeld door iemand buiten Apple, anders zouden we verwachten dat de vinder in het bulletin wordt genoemd, al was het maar als "een anonieme onderzoeker".

Er is ook geen suggestie dat de bug mogelijk al bekend is bij aanvallers en daarom al wordt gebruikt voor kattenkwaad of erger...

…maar Apple lijkt niettemin te denken dat het een kwetsbaarheid is die het waard is om een ​​beveiligingsbulletin te publiceren.

Je hebt post, hebt post, hebt post...

Zogenaamd dienstweigering (DoS) of crash-me-naar-wil bugs worden vaak beschouwd als de lichtgewichten van de kwetsbaarheidsscène, omdat ze over het algemeen geen pad bieden voor aanvallers om gegevens op te halen die ze niet zouden mogen zien, of om toegangsrechten te verkrijgen die ze niet zouden moeten hebben, of om kwaadaardige code uit te voeren van hun eigen keuze.

Maar elke DoS-bug kan snel een serieus probleem worden, vooral als het steeds opnieuw optreedt als het voor de eerste keer wordt geactiveerd.

Die situatie kan zich gemakkelijk voordoen in berichten-apps als de app eenvoudigweg toegang krijgt tot een bericht met boobytraps, omdat je de app meestal moet gebruiken om het lastige bericht te verwijderen ...

... en als de crash snel genoeg gebeurt, krijg je nooit genoeg tijd om op het prullenbakpictogram te klikken of om het aanstootgevende bericht te vegen en te verwijderen voordat de app opnieuw crasht, en opnieuw en opnieuw.

In de loop der jaren zijn er talloze verhalen verschenen over dit soort "text-of-death"-scenario's op de iPhone, waaronder:

Natuurlijk, het andere probleem met wat we gekscherend noemen: CRASH: GOTO CRASH bugs in berichten-apps is dat andere mensen kunnen kiezen wanneer ze je een bericht willen sturen en wat ze in het bericht willen zetten ...

... en zelfs als u een soort geautomatiseerde filterregel in de app gebruikt om berichten van onbekende of niet-vertrouwde afzenders te blokkeren, zal de app uw berichten doorgaans moeten verwerken om te beslissen welke verwijderd moeten worden.

(Merk op dat dit bugrapport expliciet verwijst naar een crash vanwege "een kwaadwillig vervaardigd e-mailbericht verwerken".)

Daarom kan de app hoe dan ook crashen, en elke keer dat deze opnieuw wordt opgestart, blijven crashen terwijl het probeert de berichten te verwerken die het de vorige keer niet heeft kunnen verwerken.

Wat te doen?

Of je automatische updates nu hebt ingeschakeld of niet, ga naar Instellingen > Algemeen > software bijwerken om de fix te controleren (en, indien nodig, te installeren).

De versie die u na de update wilt zien is iOS 16.0.3 of later.

Aangezien Apple alleen al voor deze ene DoS-bug een beveiligingspatch heeft uitgebracht, vermoeden we dat er iets ontwrichtends op het spel staat als een aanvaller deze zou ontdekken.

U kunt bijvoorbeeld eindigen met een nauwelijks bruikbaar apparaat dat u volledig moet wissen en opnieuw moet flashen om het weer gezond te maken ...

---

LEES MEER OVER KWETSBAARHEDEN

---