1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Zero Day: iOS wird über präparierte E…

Unschöner Bug, aber kein Grund zur Panik

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Unschöner Bug, aber kein Grund zur Panik

    Autor: mojo66 23.04.20 - 15:20

    No-Click bugs sind natürlich unschön. Da iOS 13.4.5 das Problem behebt, sollte man meiner Meinung nach nicht in Panik verfallen und irgendwelche unüberlegten Dinge tun. Jetzt wo die Katze aus dem Sack ist wird Apple entweder 13.4.5 in Kürze veröffentlichen, oder einen Interims Patch der nur dieses Problem behebt.

    Den Bösewichten stehen also voraussichtlich nur wenige Tage zur Verfügung.

    Man kann nur hoffen, dass sie auch ältere Versionen von iOS patchen.



    1 mal bearbeitet, zuletzt am 23.04.20 15:21 durch mojo66.

  2. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: gentux 23.04.20 - 15:41

    mojo66 schrieb:
    --------------------------------------------------------------------------------
    > Den Bösewichten stehen also voraussichtlich nur wenige Tage zur Verfügung.
    vs.
    > Angreifer sollen diese bereits seit mehreren Jahren aktiv ausnutzen. Unter den Opfern sollen sich
    > laut der Sicherheitsfirma mehrere Geschäftsführer sowie ein deutscher VIP befinden.

  3. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: mojo66 23.04.20 - 15:50

    gentux schrieb:
    > > Angreifer sollen diese bereits seit mehreren Jahren aktiv ausnutzen.

    Ich gehe halt davon aus, dass wer immer diesen 0-day in der Vergangenheit ausgenutzt hat, kein Interesse daran hat präprierte e-mails an jeden Arsch und seinen Hund im Internet zu verschicken, sondern dass sich die anderen Bösewichte jetzt fix an die Arbeit machen und ihren eigenen exploit schreiben. So war das gemeint.

  4. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: Freiheit statt Apple 23.04.20 - 19:06

    mojo66 schrieb:
    --------------------------------------------------------------------------------
    > No-Click bugs sind natürlich unschön.

    "unschön" ist ein schöner Euphemismus für "Totalschaden" ;-)

  5. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: mojo66 23.04.20 - 19:48

    Deinem Nutzernamen entnehme ich dass du ein Troll bist, solchen Leuten antworte ich normal nicht. Allerdings ist Totalschaden für einen bug der nur mit maild- aber nicht mit root-Rechten läuft selbst für einen Troll ein wenig weit hergeholt, oder?

  6. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: Freiheit statt Apple 23.04.20 - 20:38

    mojo66 schrieb:
    --------------------------------------------------------------------------------
    > Allerdings ist Totalschaden für einen bug der
    > nur mit maild- aber nicht mit root-Rechten läuft selbst für einen Troll ein
    > wenig weit hergeholt, oder?

    Nachdem der Exploit offenbar seit Jahren erfolgreich ausgenutzt wird, ist davon auszugehen, dass diejenigen die Kenntnis davon hatten auch Kenntnis von weiteren Exploits zwecks privilege escalation hatten. Solche sollen in iOS ja offenbar sowieso reichlich herumdümpeln. Das dürfte also nicht unbedingt die Schwierigkeit darstellen.

  7. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: gentux 24.04.20 - 09:36

    mojo66 schrieb:
    --------------------------------------------------------------------------------
    > Ich gehe halt davon aus, dass wer immer diesen 0-day in der Vergangenheit
    > ausgenutzt hat, kein Interesse daran hat präprierte e-mails an jeden Arsch
    > und seinen Hund im Internet zu verschicken

    Wenn das so schwer wäre eine e-mail an jeden Arsch und seinen Hund zu schicken, frage ich mich woher der ganze Spam kommt... aber Chapeau ich bräuchte eine ordentliche Menge Alkohol um mir die Situation derart schözureden.

    > sondern dass sich die anderen
    > Bösewichte jetzt fix an die Arbeit machen und ihren eigenen exploit
    > schreiben. So war das gemeint.

    Ich gehe davon aus, dass diese "Bösewichte" schon längst vom Exploit wissen. Im Schwarzmarkt kann man da Millionen holen und der Käufer wird seine Investition auch gut zu schützen wissen.

  8. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: Lapje 24.04.20 - 09:39

    mojo66 schrieb:
    --------------------------------------------------------------------------------
    > Deinem Nutzernamen entnehme ich dass du ein Troll bist, solchen Leuten
    > antworte ich normal nicht. Allerdings ist Totalschaden für einen bug der
    > nur mit maild- aber nicht mit root-Rechten läuft selbst für einen Troll ein
    > wenig weit hergeholt, oder?

    Wie wäre es, wenn Du auf seine Ausführungen eingehst statt zu beleidigen? Sind das die typischen Relativierungen, die man bei sowas immer kiest, um vom eigentlichen Problem abzulenken? Das hat mit seinem Nikname erst mal gar nichts zu tun.

    Und ja, wenn jemand das Gerät übernehmen oder zumindest die Kommunikation verfolgen kann, dann ist das in meinen Augen ein Totalschaden, denn dann ist das Gerät eben nicht mehr sicher.

  9. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: Eheran 24.04.20 - 10:15

    >Da iOS 13.4.5 das Problem behebt, sollte man meiner Meinung nach nicht in Panik verfallen und irgendwelche unüberlegten Dinge tun.
    Liest du auch Artikel über z.B. Windows? Wie da in den Kommentaren so Sachen gesagt werden wie "ich mache nie Updates, weil die höchstens schlecht sind"? Sollte man auch nicht vergessen, dass es solche Menschen gibt. Und wenn die hier im Golem Forum unterwegs sind, dann werden es nochmal deutlich mehr in der breiten Bevölkerung sein. Der Update-Zwang von W10 ist ganz offensichtlich der richtige Weg...

  10. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: tomatentee 24.04.20 - 10:18

    Selbst wenn es „nur“ die Mail-App betrifft: Da sind in aller Regel ausreichend sensible Informationen drin, dass es zum Totalschaden reicht...

  11. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: stuempel 24.04.20 - 10:40

    +1

    Ach ja, die digitalen Impfgegener.

  12. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: Oekotex 24.04.20 - 10:43

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Liest du auch Artikel über z.B. Windows? Wie da in den Kommentaren so
    > Sachen gesagt werden wie "ich mache nie Updates, weil die höchstens
    > schlecht sind"? Sollte man auch nicht vergessen, dass es solche Menschen
    > gibt. Und wenn die hier im Golem Forum unterwegs sind, dann werden es
    > nochmal deutlich mehr in der breiten Bevölkerung sein. Der Update-Zwang von
    > W10 ist ganz offensichtlich der richtige Weg...

    Menschen die keine Updates einspielen haben ohnehin kein großes Interesse an Sicherheit. Von daher trifft es dann sogar mal die richtigen.

    Ungeachtet dessen ist der Bug in der Mail-App natürlich ein riesen Problem und kann überhaupt nicht nachvollziehen, wie man auch nur versuchen kann das zu verharmlosen.
    Aber: Jetzt kann Apple ja mal zeigen wie schnell sie können, wenn sie müssen.

    Das einzige, was mich persönlich beruhigt ist die Tatsache die Mail-App nicht mehr zu haben, seitdem man sie entfernen kann.

    (Dieser Beitrag stammt von einem Nutzer von Apple-Geräten)

  13. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: dxp 24.04.20 - 11:36

    Interessant wäre noch zu wissen, wie genau der Exploit funktioniert, ob bspw. externer Content nachgeladen werden muss. Dann wären zumindest diejenigen User, welche das externe Nachladen deaktiviert haben, nur bedingt betroffen.

    Hat hier jemand genauere Infos?

  14. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: Grolox 24.04.20 - 12:06

    Vieles ist sehr undurchsichtig und ich Glaube hier eher
    an Clickbait als alles andere. Die Fehler , es sollen 3 sein ,
    sind Apple über Wochen gekannt. Apple selbst sagt das
    kein Schaden am iPhone oder iPad ausgegührt werden kann.
    In einem anderen Text dazu sagte man das der Exploid mitte
    Februar 2020 an Apple gesendet wurde man aber erst einen
    reproduzierbaren Fehler anfang März erreichen konnte
    und diesen dann Apple gesendet hat.
    Apple zahlt ja nun seit einiger Zeit richtig Geld für das
    Aufdecken von solchen Lücken.
    Ging der Finder hier eventuell leer aus und hat es mit
    einer anderen Möglichkeit versucht ....?
    Denn Apple bezeichnet den Fehler als nicht ernsthaft
    und lässt sich deshalb auch genügend Zeit um es dann richtig
    zu machen.
    Aber negativ ist das in jedem Fall für Apple , das wird auch der
    Hauptgrund der vorzeitigen Veröffentlichung sein.

  15. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: gentux 24.04.20 - 12:36

    tomatentee schrieb:
    --------------------------------------------------------------------------------
    > Selbst wenn es „nur“ die Mail-App betrifft: Da sind in aller
    > Regel ausreichend sensible Informationen drin, dass es zum Totalschaden
    > reicht...

    Ja, man denke nur an Password reset. Geht fast überall einfach über den Zugriff auf das dahinterliegende Mailkonto.

  16. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: gentux 24.04.20 - 12:38

    Oekotex schrieb:
    --------------------------------------------------------------------------------
    > Das einzige, was mich persönlich beruhigt ist die Tatsache die Mail-App
    > nicht mehr zu haben, seitdem man sie entfernen kann.

    IIRC entfernt man damit nur das Icon und die Benachrichtigungen. Könnte mich aber auch täuschen.

  17. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: gentux 24.04.20 - 12:46

    Grolox schrieb:
    --------------------------------------------------------------------------------
    > Vieles ist sehr undurchsichtig und ich Glaube hier eher
    > an Clickbait als alles andere. Die Fehler , es sollen 3 sein ,
    > sind Apple über Wochen gekannt. Apple selbst sagt das
    > kein Schaden am iPhone oder iPad ausgegührt werden kann.

    Leider hat das Apple oft behauptet, auch schon vor Jahren als Flash-Player mit OS X kam und es dort schwere Sicherheitslücken gab. Oder noch vorher mit Java und Apache. Da kann man inzwischen kein Gewicht auf ihre Aussagen geben, dafür haben sie das Vertrauen schon verspielt und darum kommt das alles auch nicht mehr mit (denke ich).

    > In einem anderen Text dazu sagte man das der Exploid mitte
    > Februar 2020 an Apple gesendet wurde man aber erst einen
    > reproduzierbaren Fehler anfang März erreichen konnte
    > und diesen dann Apple gesendet hat.

    Das passiert hingegen häufig, dass uns zum Beispiel jemand einen Fehler meldet aber wir erst 2 Wochen lang suchen müssen bis es wirklich zuverlässig reproduziert werden kann. Oft sind beide Parteien auch anderweitig beschäftigt.

    > Apple zahlt ja nun seit einiger Zeit richtig Geld für das
    > Aufdecken von solchen Lücken.

    Der Schwarzmarkt jedoch noch viel mehr... besonders für iOS.

    > Ging der Finder hier eventuell leer aus und hat es mit
    > einer anderen Möglichkeit versucht ....?

    Kann ich mir einfach kaum vorstellen. Geheimdienste der Welt kaufen diese und zahlen kräftig! Hörte man sogar von der FBI, dass sie sich mit Exploits eindecken!

    > Denn Apple bezeichnet den Fehler als nicht ernsthaft
    > und lässt sich deshalb auch genügend Zeit um es dann richtig
    > zu machen.

    Diese Strategie haben sie aber eben schon oft angewendet um Zeit zu gewinnen.

    > Aber negativ ist das in jedem Fall für Apple , das wird auch der
    > Hauptgrund der vorzeitigen Veröffentlichung sein.

    Das ist hingegen relativ klar geregelt, wenn sie ausgenutzt werden wäre alles andere ja auch unverantwortlich.

  18. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: Freiheit statt Apple 24.04.20 - 12:51

    Grolox schrieb:
    --------------------------------------------------------------------------------
    > Apple selbst sagt das
    > kein Schaden am iPhone oder iPad ausgegührt werden kann.

    Was Apple sagt ist nicht wirklich relevant, da Apple im Bereich Security seine Glaubwürdigkeit schon lange verspielt hat.

    Das Märchen von den sicheren Apple-Produkten ist ein zentraler Bestandteil des "Mythos Apple", entsprechend wird Apple auch immer wieder lügen, um diesen Glauben am Leben zu erhalten.


    > Apple zahlt ja nun seit einiger Zeit richtig Geld für das
    > Aufdecken von solchen Lücken.
    > Ging der Finder hier eventuell leer aus und hat es mit
    > einer anderen Möglichkeit versucht ....?

    Eigentlich ist das Bug-Bounty Programm beim Apple erst seit wenigen Monaten "öffentlich".

    Da diese Lücke ja mindestens seit 2018 ausgenutzt wird, folglich also auch mindestens vor so lange Zeit gefunden worden sein muss, ist wohl davon auszugehen, dass der damalige Finder seine Milliönchen auf dem Schwarzmarkt eingestrichen hat.

  19. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: Oekotex 24.04.20 - 13:15

    gentux schrieb:
    --------------------------------------------------------------------------------
    > IIRC entfernt man damit nur das Icon und die Benachrichtigungen. Könnte
    > mich aber auch täuschen.

    Du täuscht dich.

  20. Re: Unschöner Bug, aber kein Grund zur Panik

    Autor: eidolon 24.04.20 - 16:25

    Oekotex schrieb:
    --------------------------------------------------------------------------------
    > Menschen die keine Updates einspielen haben ohnehin kein großes Interesse
    > an Sicherheit.

    Haben sie schon, aber die ganzen IT-Profis reden ihnen ja immer ein, dass Updates böse sind und "never change a running system" und so.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. A. Menarini Research & Business Service GmbH, Berlin
  2. CodeCamp:N GmbH, Nürnberg
  3. SCHOTT AG, Mainz
  4. Stadt Frankfurt am Main, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 949,90€ (Bestpreis)
  2. (u. a. Gigabyte GeForce RTX 3080 Gaming OC 10G für 1.199€)
  3. (u. a. Ghost Recon Breakpoint - Free Weekend, Gearbox-Promo (u. a. We Happy Few für 5,50€), 1954...
  4. (u. a. Razer Basilisk Ultimate für 149€, WD Black SN850 PCIe-4.0-SSD 1TB 199€ (inkl...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hitman 3 im Test: Agent 47 verabschiedet sich mörderisch
Hitman 3 im Test
Agent 47 verabschiedet sich mörderisch

Das (vorerst) letzte Hitman bietet einige der besten Einsätze der Serie - daran dürften aber vor allem langjährige Fans Spaß haben.
Von Peter Steinlechner

  1. Hitman 3 angespielt Agent 47 in ungewohnter Mission

Laschet, Merz, Röttgen: Mit digitalem Bullshit-Bingo zum CDU-Vorsitz
Laschet, Merz, Röttgen
Mit digitalem Bullshit-Bingo zum CDU-Vorsitz

Die CDU wählt am Wochenende einen neuen Vorsitzenden. Merz, Laschet und Röttgens Chefstrategin Demuth haben bei Netzpolitik noch einiges aufzuholen.
Ein IMHO von Friedhelm Greis

  1. Digitale Abstimmung Armin Laschet ist neuer CDU-Vorsitzender
  2. Netzpolitik Rechte Community-Webseite Voat macht Schluss

Star Wars und Star Trek: Was The Mandalorian besser macht als Discovery
Star Wars und Star Trek
Was The Mandalorian besser macht als Discovery

Unabhängig von der Story und davon, ob man Star Trek oder Star Wars lieber mag - nach den jüngsten Staffeln wird deutlich: Discovery kann handwerklich nicht mit The Mandalorian mithalten. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch

  1. Lucasfilm Games Ubisoft entwickelt Open World mit Star Wars
  2. Krieg der Sterne Star Wars spielt unter dem Logo von Lucasfilm Games
  3. Star Wars chronologisch Über 150 Stunden Krieg der Sterne