Am 10. Dezember veröffentlichte Apple
eine Reihe von Patches für
macOS ,
iOS (einschließlich iPadOS) und
watchOS . Der vielleicht gefährlichste der geschlossenen Fehler war die FaceTime-Sicherheitsanfälligkeit, die alle Apple-Mobilgeräte ab iPhone 6s und iPad Air 2 betrifft. Wie bei der kürzlich entdeckten
Sicherheitsanfälligkeit in WhatsApp wurde das Problem im Verarbeitungssystem eingehender Videodateien gefunden: Ein bösartiges Video könnte dazu führen Ausführung von beliebigem Code. Die Sicherheitsanfälligkeit CVE-2019-8830 wurde von Natalie Silvanovich, einer Forscherin des Google Project Zero-Teams, entdeckt: Letztes Jahr schrieb sie ausführlich über die Sicherheit von Instant Messenger-Diensten, einschließlich FaceTime (Sie können mit einem
Artikel beginnen, der vor einem Jahr Beispiele für zuvor entdeckte Sicherheitsanfälligkeiten in der Anwendung enthielt).
Eine weitere Sicherheitslücke wurde
vom Forscher Kishan Bagaria entdeckt: Er stellte fest, dass das Senden von Dokumenten an Apple-Geräte in der Nähe ständig zu einer Dienstverweigerung führte. Dazu muss auf Ihrem iPad oder iPhone die Möglichkeit aktiviert sein, Dateien über den AirDrop-Mechanismus von jedem (und nicht nur von Benutzern in Ihrer Kontaktliste) zu empfangen. Der Fehler wurde erwartungsgemäß als AirDoS bezeichnet: Unter dem Strich muss die Anforderung zum Empfangen der Datei akzeptiert oder abgelehnt werden. Bis dahin sind andere Steuerelemente auf dem mobilen Gerät nicht verfügbar. Wenn Sie ständig Anfragen senden, ist das Tablet oder Smartphone in der Tat nicht funktionsfähig. Der Fehler wurde in iOS 13.3 behoben, indem die Anzahl der Versuche begrenzt wurde: Wenn Sie die Anforderung dreimal hintereinander ablehnen, werden alle nachfolgenden Versuche, die Datei von demselben Gerät aus zu senden, automatisch blockiert.
Bei Intel-Prozessoren wurde ein interessanter Fehler entdeckt und behoben (
News , Hersteller-
Bulletin , Schwachstellen-
Site ). Forscher von Universitäten in Österreich, Belgien und Großbritannien haben eine Möglichkeit gefunden, den Mechanismus für
Software Guard Extensions zu kompromittieren. Er bietet zusätzlichen Schutz für wichtige Daten, z. B. Verschlüsselungsschlüssel, und isoliert sie von anderen Prozessen im System. Die Hacking-Methode wurde nicht trivial gewählt: Modifikation der für den Stromverbrauch verantwortlichen Prozessorregister. Im Normalfall werden sie verwendet, um die Leistung oder zusätzliche Energieeinsparung über die Standardeinstellungen des Prozessors hinaus zu erhöhen.
Die Forscher konnten nachweisen, dass ein deutlicher Spannungsabfall (z. B. -232 mV für den Core i3-7100U-Prozessor oder -195 mV für den Core i7-8650U) zum richtigen Zeitpunkt zu Fehlfunktionen des SGX führt und zur Beschädigung der Daten führt. Es eröffnet sich die Möglichkeit, auf Daten zuzugreifen, auf die sonst nicht zugegriffen werden kann. Experten demonstrierten beispielsweise die Extraktion von Verschlüsselungsschlüsseln mithilfe von RSA- und AES-Algorithmen.
Wie bei solchen Attacken üblich, ist es nicht einfach, die richtige Spannung und den richtigen Moment für die Änderung von Parametern auszuwählen. Darüber hinaus ist ein echter Angriff dieser Art zwar aus der Ferne durchführbar (was für Hardware-Schwachstellen nicht typisch ist), erfordert aber vollen Zugriff auf das Betriebssystem. Andernfalls können Sie nicht zu den Parametern des Prozessors gelangen. In diesem Fall bedeutet das Schließen der Sicherheitsanfälligkeit, dass der Mikrocode in Form eines BIOS-Updates auf reale Geräte (alle Intel Core-Benutzerprozessoren der sechsten Generation und einige Xeon) aktualisiert werden muss.
Kaspersky Lab hat einen
vollständigen Bericht über Cyber-Bedrohungen für das Jahr 2019 veröffentlicht (verfügbar nach Registrierung, eine kurze Übersicht in
diesen Nachrichten ). Von besonderem Interesse für den Bericht ist eine Liste der Schwachstellen, die tatsächlich in Malware verwendet werden. Im Gegensatz zu theoretischen Sicherheitslücken stellen diese eine besondere Bedrohung dar und erfordern sofortige Software-Updates. Für die am häufigsten ausgenutzten Fehler sind jedoch seit mehr als einem Jahr Updates verfügbar. Am Anfang dieser Liste stehen zwei Sicherheitsanfälligkeiten im Microsoft Office Formula Editor,
CVE-2017-11882 und
CVE-2018-0802 . Die fünf am häufigsten verwendeten Fehler beziehen sich im Allgemeinen auf Microsoft Office. Ein Beispiel für eine neue Sicherheitsanfälligkeit ist der im März entdeckte CVE-2019-0797-Fehler, der zu diesem Zeitpunkt
bereits in böswilligen Angriffen
ausgenutzt wurde.
Was ist noch passiert:Kritische
Sicherheitslücken wurden in zwei Add-Ons für WordPress entdeckt: Ultimate Addons für Beaver Builder und Ultimate Addons für Elementor. Für den Betrieb müssen Sie nur die Postanschrift des Site-Administrators kennen.
Eine weitere Zero-Day-Sicherheitsanfälligkeit in Windows (von 7 bis 10 und in Windows Server von 2008) wird
durch den Dezember-Patch geschlossen. Der Fehler wurde in der Systembibliothek win32k.sys
gefunden und enthielt auch die zuvor erwähnte Sicherheitsanfälligkeit CVE-2019-0797.
In der neuen Version von Google Chrome 79
wurden zwei kritische Sicherheitslücken
geschlossen und gleichzeitig ein neuer Standardalarm über die Verwendung von kompromittierten Login-Passwort-Paaren ausgelöst. Diese Option war zuvor als Erweiterung verfügbar.
14 kritische Sicherheitslücken in Adobe Reader und Adobe Acrobat geschlossen. Hinzu kommen zwei Sicherheitslücken, die zur Ausführung von beliebigem Code in Adobe Photoshop führen.
Entwickler von Firefox-Add-Ons müssen jetzt
die Zwei-Faktor-Autorisierung verwenden. Auf diese Weise versucht Mozilla, das Risiko von Angriffen auf die Lieferkette zu verringern. In diesem Fall haben wir ein Szenario im Auge, in dem schädlicher Code in eine legitime Erweiterung eingefügt wird, nachdem der Computer des Entwicklers gehackt wurde.