Apple Mail: iOS-Updates beseitigen offenbar schwere Lücke

Mit iOS 13.5 und 12.4.7 hat Apple Sicherheitsforschern zufolge Schwachstellen behoben, die eine Manipulation der E-Mail-Inbox ermöglichten.

25 May 2020, 19:13 by Leo Becker

Apple hat seinen auf iPhones und iPads vorinstallierten E-Mail-Client offenbar abgesichert: Die in älteren Versionen bestehenden Schwachstellen seien nach Installation von iOS 13.5 oder 12.4.7 geschlossen, teilte die Sicherheitsfirma ZecOps inzwischen mit, die die Lücken ursprünglich an Apple gemeldet hatte. Man habe mehrere gezielte Angriffe auf Firmen sowie Einzelpersonen bemerkt, erklärte die Firma Ende April und habe sich deshalb schon vor der allgemeinen Freigabe des Apple-Patches zu einer öffentlichen Warnung entschieden.

Sicherheitsfirma: Vollständiger Patch erst durch 13.5

Apples erster Patch für die Heap-Überlaufschwachstelle in der nur als Beta vertriebenen iOS-Version 13.4.5 sei noch unvollständig gewesen, schreibt ZecOps. Die nun auch für die Allgemeinheit freigegebene iOS-Version 13.5 beseitige das Problem aber vollständig, ebenso wie iOS 12.4.7, das Nutzer älterer Geräte – wie etwa dem iPhone 6 – installieren können.

Die Bugs sind nach Angabe der Sicherheitsfirma in iOS 13 besonders problematisch, da sie auch ohne Nutzerinteraktion eine Manipulation von E-Mails ermöglichen. Bei Kenntnis zusätzlicher Schwachstellen auf Kernel-Ebene könnten sich Geräte zudem komplett übernehmen lassen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte im Anschluss vor der Weiterverwendung des vorinstallierten E-Mail-Clients.

Apple: Schwachstelle kein "unmittelbares Risiko"

Im Unterschied dazu stufte Apple die Schwachstellen nicht als ein "unmittelbares Risiko für Nutzer" ein. Die drei Bugs in Mail würden nicht ausreichen, um Sicherheitsfunktionen von iPhones und iPads zu umgehen. Auch habe man keine Beweise für eine aktive Ausnutzung der Lücken gefunden, so der Konzern.

Lesen Sie auch

https://www.heise.de/imgs/18/2/9/0/0/1/5/3/image-1580291479549897-013d6b89bce0112f.jpeg

Postbändiger: Sechs E-Mail-Clients für macOS und iOS im Vergleich

Apple hat bislang selbst nicht bestätigt, dass die Schwachstellen in Mail mit iOS 13.5 und 12.4.7 geschlossen wurden, Details zu den durch die Updates beseitigten Lücken liegen Stand Montagnachmittag noch nicht vor. Die Support-Datenbank des Herstellers verweist seit vergangener Woche lediglich auf eine baldige Veröffentlichung. Möglicherweise folgt diese nach der Freigabe von macOS Catalina 10.15.5, das Update steht nämlich noch aus. Die Lücken in Apple Mail haben die Mac-Version nicht betroffen, hieß es bei ZecOps. (lbe)