Apple stopft PDF-Sicherheitslücke mit iOS 4.3.4 (Update: 4.3.5)

Update (25. 7. ’11): iOS 4.3.5! Details hier. Update-Ende.

Bildschirmfoto aus iTunes am Mac:

Apple gab vor wenigen Stunden eine aktualisierte Version seines iOS-Betriebssystems heraus, die zur Behebung eines Sicherheitsproblems in Zusammenhang mit Safaris Umgang mit PDF-Dateien dient. Die neue Betriebssystem-Version nennt sich iOS 4.3.4.

Die Angaben laut iTunes (hier in Form eines Bildschirmfotos) waren bei allen iOS-Geräten gleich:

Weitere offizielle Angaben des iDevice-Herstellers Apple:

Das Update wurde wie immer über die iDevice-Hauptseite von iTunes (das Gerät muss per USB-Kabel verbunden sein) nach Klick/Tap auf die „Aktualisieren“-Schaltfläche völlig problemlos und ohne weitere Interaktionen des Anwenders durchgeführt. Ab Herbst (s. u. Link zum Rossau-Bericht), wenn iOS 5 zur Verfügung steht, soll das übrigens ohne USB-Verbindung ablaufen.

Der Download wog hier für das iPhone 4 666,7 Megabyte, für das iPad 2 615 und für das iPad der ersten Generation 593,5. Jedes Gerät konnte zwischen acht und fünfzehn Minuten nicht widmungsgemäß verwendet werden (all inclusive Download, Backup, Reboot…). Angaben laut Info im iDevice „Version 4.3.4 (8K2)“ – vorher: “4.3.3 (8J3)”. Unverändert auf allen iOS-Geräten seit iOS 4.3 die Angaben zum Netzbetreiber „Carrier 10.0″ und die “Modem-Firmware-Version 04.10.1″.

Bei dem von Apple in acht Tagen nach Bekanntwerden gestopften Security-Leck handelte es sich um einen kritischen Vorfall. Glücklicherweise ist es zu keinen Schäden gekommen, soweit ich informiert bin. Es gab – außer der Online-Jailbreak-Möglichkeit via Safari/PDF – keinen Exploit (so wird das Ausnutzen einer Sicherheitslücke bezeichnet; Wikipedia).

Mit der Möglichkeit, die iDevices online per JailbreakMe.com zu knacken, ist es nach dieser iOS-Aktualisierung freilich ebenfalls vorbei, siehe Rossau: iPhone-Hacks. Beim Aufruf der JailbreakMe.com-Website bietet sich nach dem BS-Update folgendes Bild am iPhone 4, die “alternate method” (nach Klick/Tap auf “try here”) hilft dann auch nicht weiter, was einen Online-Jailbreak für iOS 4.3.4 anbelangt:

JailbreakMe-Website auf dem iPhone 3G

Außen vor bleiben die iPhones und iPods touch der ersten Generationen (inkl. iPhone 3G – laut iTunes bei einem Versuch meinerseits zu aktualisieren: “iOS 4.2.1 ist die aktuellste Version”). Auch wenn der JailbreakMe-Exploit nicht für das iPhone 3G vorgesehen war, heißt das nicht, dass die Schwachstelle nicht für andere, schädliche Exploits angewendet werden kann, sobald sie detailliert dokumentiert wird.

PDF-Dateien können nach Einspielen des Betriebssystem-Updates wieder bedenkenlos auf den iDevices (außer iPhone und iPod touch der ersten Generationen) geöffnet und betrachtet werden! Bis auf weiteres…

Wir bedanken uns beim Jailbreak-Dev-Team (hier deren Twitter-Meldung) und comex für das Aufdecken dieser Sicherheitslücke und die Stillbeschäftigung beim Aktualisieren des Betriebssystems.

Es sollte vielleicht auch nicht ganz außer Acht gelassen werden, dass so ein iOS-Update bei 200 Millionen (laut Apple bisher verkauften) Geräten (okay, nicht alle davon werden gepatcht) einen immensen Energieaufwand mit sich bringt. Hoffentlich wird das jetzt nicht zur Regel in jedem Sommer, vor fast genau elf Monaten gab es nämlich einen ganz ähnlichen Vorfall, Rossau berichtete am 4. August 2010.

Irreführende Meldung von Heise/Mac & i; hier ist offenbar die Urlaubsvertretung am Werk

Na, hoffentlich ist den folgenden Informationen mehr zu trauen:

Heise/Mac & i am Dienstag, 19. Juli 2011: “Quellcode des jüngsten iOS-Jailbreaks veröffentlicht”; daraus:

Der Hacker comex hat den Quellcode seines iPhone-Jailbreaks veröffentlicht [WWW-Hyperlink entfernt; Anm. Rossau-Red.], welcher auf der Seite Jailbreakme.com iOS-Geräte bis Version 4.3.3 per Fingerzeig entsperrt.

Die Veröffentlichung des Quellcodes erhöht die Gefahr deutlich, dass der Exploit auch für kriminelle Zwecke ausgenutzt wird. Wer auf einen Jailbreak verzichten kann, sollte sein iOS-Gerät daher umgehend auf die aktuelle Version 4.3.4 aktualisieren, in der Apple beide Lücken geschlossen hat. iOS-Nutzer mit Jailbreak sollten den PDF Patcher 2 von comex über Cydia installieren, der zumindest die Einstiegslücke in FreeType abdichten soll – die Lücke im Kernel benötigt der Jailbreak weiterhin.

Fraglich ist, ob wirklich unbedingt eine Notwendigkeit besteht, dass Heise einen Link zur Dokumentation des Quellcodes zur Verfügung stellt; damit wird einer schädlichen Ausnutzung Vorschub geleistet, Schurken können nicht-gepatchte iDevices kompromittieren. Aus diesem Grund wurde hier kein Link zum Heise-Artikel eingefügt. Informationen sind ja schön und gut, aber wenn sie in die falschen Hände geraten…

Montag, 25. Juli 2011

Bereits zehn Tage nach iOS 4.3.4 legte Apple am späten Abend ein weiteres Security-Update nach, nämlich iOS 4.3.5. Originalton Apple: “Schließt Sicherheitslücke beim Überprüfen von Zertifikaten.”

Hier ein Bildschirmfoto mit den Angaben laut iTunes:

Hier nochmal der Link zum Anklicken:
http://support.apple.com/kb/HT1222?viewlocale=de_DE
Dort sind allerdings bisher keine genaueren Infos zu 4.3.5 verfügbar; im Gegensatz zur englischen Version der Seite, frei übersetzt: “Auswirkung der Sicherheitslücke: Ein Angreifer mit einer privilegierten Position im Netzwerk kann während Sessions, die von SSL/TLS geschützt werden, Daten auslesen oder verändern.” Hat nichts mehr mit der PDF-Lücke zu tun.

Downloadgröße für das iPad (erste Generation): 593,5 MB, iPad 2: 614,9 MB, iPhone 4: 666,6 MB. Dauer des vollautomatischen Update-Vorgangs ähnlich wie bei iOS 4.3.4 (s. o.), hier wie immer keinerlei Komplikationen.

Angaben am iDevice unter “Einstellungen – Info” nach der Aktualisierung:

  • Version: 4.3.5 (8L1)

Bei Geräten mit SIM-Karte:

  • Netzbetreiber: Carrier 10.0 (unverändert)
  • Modem-Firmware: 04.10.01 (unverändert)

Wie immer wird von Rossau/Habakuk dringend empfohlen, diese Security-Updates so rasch wie möglich auf allen iOS-Geräten zu installieren!

Dazu Heise am 26. Juli 2011: Apples iOS anfällig für neun Jahre alte SSL-Schwachstelle, daraus:

Ein Angreifer kann den verschlüsselten Datenverkehr mit einem manipulierten Zertifikat belauschen und modifizieren, da iOS 4.3.4 nicht überprüft, ob der Aussteller eines Zertifikats tatsächlich zur Ausstellung von Zertifikaten berechtigt ist, also das CA-Bit in den sogenannten Basic Contraints gesetzt ist. Jedermann kann mit einem gültigen Zertifikat also beliebige weitere Zertifikate, etwa für paypal.com oder die Domain der Hausbank, erstellen, die iOS dann klaglos als gültig anerkennt.

Neu ist dieses Problem nicht: Bereits vor neun Jahren waren Webkit-Browser und Programme auf Basis der Microsoft CryptoAPI (Internet Explorer, Outlook und Co.) aufgrund der unzureichenden Validierung durch Man-in-the-middle-Angriffe (MITM) verwundbar.

Festzuhalten bleibt wieder einmal, dass das “alte” iPhone 3G (sowie iPod touch der zweiten Generation und ältere) von diesem wichtigen Security-Patch ausgeschlossen bleibt (iOS 4.2.1 ist dafür die neueste Version). Das ebenfalls neu gepatchte iOS 4.2.10 (Apple-Support-Artikel) gilt für das nur in den USA erhältliche Verizon/CDMA-iPhone-4 (Rossau-Bericht) mit seinen eigenen und separaten Versionsnummern.

Heise am 27. Juli 2011: Test für Verschlüsselungsbug des iPhone mit weiteren Details zu der am Vortag bekanntgewordenen Sicherheitslücke, die mit iOS 4.3.5 geschlossen wurde. Daraus: “Für Geräte mit Jailbreak gibt es derzeit keinen Schutz.”

About these ads
Dieser Beitrag wurde unter Aktuell, iPad, iPhone, Sicherheit und Privatsphäre abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Apple stopft PDF-Sicherheitslücke mit iOS 4.3.4 (Update: 4.3.5)

  1. Pingback: Sicherheitsmaßnahme: Keine PDF-Dateien öffnen! (Die zweite…) | Rossau

Die Kommentarfunktion ist geschlossen.