[English]Apple hat vorige Woche ein Notfall-Update für iOS (und macOS sowie den Safari-Browser) freigegeben, um eine kritische RCE-Schwachstelle (CVE-2022-22620) in WebKit zu schließen. Die US Cybersecurity & Infrastructure Security Agency (CISA) hat alle US-Behörden angewiesen, Update zum Schließen der Schwachstelle CVE-2022-22620 bis zum 25. Februar 2022 auf den verwendeten Geräten zu installieren. Nutzer und Administratoren in Deutschland sollten da vielleicht auch zeitnah handeln.
Anzeige
Die CISA führt eine Liste an Schwachstellen in Produkten, die unbedingt gepatcht werden sollten. Auf Twitter gab es zum 11. Februar 2022 nachfolgenden Tweet mit dem Hinweis auf die Remote Code Execution-Schwachstelle CVE-2022-22620.
Bei der Schwachstelle CVE-2022-22620 handelt es sich um eine Apple Webkit Remote Code Execution-Schwachstelle, für die es bekannte Exploits gibt. Es reicht der Besuch einer infizierten Webseite, um die Schwachstelle auszunutzen. Behörden werden in den zugehörigen CISA-Dokumenten aufgefordert, diese Schwachstelle auf den Geräten (iOS, WatchOS, iPadOS, macOS und Safari) bis zum 25. Februar 2022 zu schließen.
Update auf iOS 15.3.1 und macOS 12.2.1
Ich hatte es im Blog nicht thematisiert, aber Apple hat zum 10. Februar 2022 iOS 15.3.1 und iPadOS 15.3.1 veröffentlicht, um die oben erwähnte Schwachstelle CVE-2022-22620 zu schließen. Bei heise heißt es dazu, dass die Schwachstelle wohl aktiv für Angriffe genutzt werde. Es reicht wohl der Besuch einer manipulierten Webseite, um die Remote Code Execution-Schwachstelle auszunutzen. Im entsprechenden Dokument heißt es dazu:
Anzeige
WebKit
Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
Description: A use after free issue was addressed with improved memory management.
CVE-2022-22620: an anonymous researcher
Auch Mac-Benutzer bekommen entsprechende Sicherheitsupdates für macOS (macOS 12.2.1 Monterey) oder für den Safari-Browser, der auf die Version 15.3 aktualisiert wurde. Wer also solche Apple-Geräte im Einsatz hat, sollte das Update auf die betreffende macOS bzw. iOS-Version vornehmen.
Anzeige
Warum eigentlich erst bis zum 25. Februar? Ist die Schwachstelle bis dahin weniger gefährlich?
vermutlich wird danach serverseitig irgend ein zugang geblockt
> Es reicht der Besuch einer infizierten Webseite, um die Schwachstelle auszunutzen.
Sowas kann man nicht zentral seitens Apple serverseitig blocken.
Man könnte noch erwähnen, dass *jeder* Browser auf *jeglichem* iOS-Gerät betroffen und damit hochgradig unsicher ist – denn so eine Lücke für drive by malware gehört schon zu den besonders üblen Sicherheitsproblemen.
Da Apple alle anderen browser engines außer der eigenen ("Webkit") verbietet, kann man zwar Alternativen wie Firefox oder Chrome installieren – man bekommt aber nur deren GUI und unter der Haube läuft trotzdem weiter Apples kaputter Schrott mit den entsprechenden Anfälligkeiten.
Alle iOS-Nutzer sollten also schnell handeln (und bekommen dabei dann wohl auch spätestens das Zwangs-Upgrade auf spyOS 15 verpasst).
Bei uns auch: Allerdings habek wir nur Zeit bis Ende dieser Woche.
Das mindestens OS wird für die Geräte dann in MS Intune auf die 15.3.1 gestellt, Geräte mit einer gerineren Softwareversion sind sann innerhalb von Minuten nicht mehr konform und werden ausgesperrt. Dh keine Emails kein Zugriff.
Oder man sperr die Geräte komplett. Das ist aber etwas übertrieben. Löschen iSv zurücksetzen geht natürlich auch.