Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984

Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News
 

Wenn ein Benutzer auf eine entsprechend präparierte Website gerät, lassen sich über mehrere Lücken in Apples Browser Safari Kamera und Mikrofon des Systems übernehmen. Die Bedingung dafür ist allerdings, dass der Benutzer bereits einer legitimen Website (wie skype.com) vertraut und darüber den Zugriff auf die Kamera erlaubt hat.

Alle Macs sowie iPhone und iPad sind von den Schwachstellen betroffen. Insgesamt sieben Lücken (mit den Kennzeichnungen CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 sowie CVE-2020-9787) fand der Security-Spezialist Ryan Pickren in Apples Browserengine WebKit, von denen er drei für sein Angriffsszenario kombinierte. Mittlerweile hat Apple die Schwachstellen über Updates geschlossen.

Das nachlässige Parsen von URIs durch die Browserengine WebKit ist der Ausgangspunkt der Schwachstellen. WebKit unterscheidet beim Speichern von vertrauenswürdigen Websites nicht zwischen abweichenden Origins. Pickren meldete die entdeckten Schwachstellen im Dezember 2019 an Apple.

Mehrere Lücken wurden im Januar in iOS bzw. iPadOS 13.3.1 und in macOS (Safari ab 13.0.5 in Catalina, Mojave und High Sierra) behoben. Die Lücken dürften auch von dem am gleichen Tag veröffentlichten Update für iOS 12 (12.4.5) geschlossen werden. Apple hat dafür allerdings keine CVE-Nummern veröffentlicht. Mit Safari 13.1 wurden im März weitere der von Pickren entdeckten Lücken in macOS geschlossen (ebenfalls Catalina, Mojave und High Sierra).

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE