Abgesehen von der Behebung des Group FaceTime-Lauschangriffs auf iPhone, iPad und Mac mit dem iOS 12.1.4-Softwareupdate und dem MacOS Mojave 10.14.3 Supplemental Update hat Apple auch ein großes Sicherheitsproblem behoben, das kürzlich in der Shortcuts-App für iPhone und iPad gefunden wurde.
Wie wir letzte Woche berichteten, war die App von einem großen Versehen geplagt, bei dem ein Angreifer eine böswillige Verknüpfung erstellte und verteilte, die Kontakte, Adressen, Dateien und andere Benutzerdaten sammelte und über iMessage eine ZIP-Datei an einen Angreifer im Hintergrund sendete.
Obwohl in den Versionshinweisen von App Store, die dem heutigen Update von Shortcuts 2.1.3 beigefügt sind, nur nicht spezifizierte Fehlerkorrekturen und Verbesserungen erwähnt werden, bietet ein Supportdokument auf der Apple-Website detaillierte Informationen zum Sicherheitsinhalt des Updates.
Hiermit gebe ich die böswillige Verknüpfung POC (https://t.co/xa2KGHGnLL) frei, die von erwähnt wurde
- Avimanyu Roy (@ AvimanyuRoy3) 31. Januar 2019
@twolivesleftand by @EdFromFreelance in seinem Artikel!
Fyi: Apfel behandelt dies nicht als Fehler, sondern als beabsichtigtes Verhalten. “… Also ja… :) Lass es seinen Job machen.
Bilder / Videos unten (Wie @bzamayo zeigte.
Der erste Fehler ermöglichte es einem lokalen Benutzer, vertrauliche Benutzerinformationen anzuzeigen, da bei der Behandlung von Verzeichnispfaden ein Parsing-Problem auftrat, das mit einer verbesserten Pfadüberprüfung behoben wurde.
Der andere Fehler, der Apples Sandbox-Beschränkungen umging, wurde ebenfalls behoben. Das Sicherheitsdokument schreibt Avimanyu Roy die Meldung dieser Probleme zu.
„Wir möchten Sem Voigtländer von der Fontys Hogeschool ICT für ihre Unterstützung danken“, heißt es in dem Dokument.
Shortcuts können Sie kostenlos im App Store herunterladen.