Ach, du weißt welche Webseiten betroffen sind?
Was genau erwartest du bei dieser Sicherheitslücke (oder all den anderen drive-by/injection Exploits)? Eine Liste mit ein paar hunderttausend URLs??? Die Klassen der betroffenen Webseiten sind aus den von mir verlinkten Seiten ja nun abzuleiten. Ein paar Hinweise habe ich gegeben...
Oder hab ich da was übersehen?
Nein, ist mir genau wie die hier im Forum nicht-existente Berichterstattung völlig unverständlich.
Ich glaube, das liegt u.a. daran, dass hier eine ganze Kette von Exploits geschickt ausgenutzt wird. D.h. es gibt keinen einzelnen CVE, der "hochkocht" und entsprechende Bulletins erzeugt. Ich hab' z.B. beim BSI viele der CVEs gefunden - aber jeder für sich ist vergleichsweise "harmlos" (da sind allerdings auch kritische macOS-Lücken von Donnerstag, von denen ich noch nichts gehört hatte - muss ich mal angucken). Der ganze Project Zero Artikel ist erst Freitagnacht unserer Zeit erschienen, ggf. kommt die Welle erst über's Wochenende oder am Montag. Einen CERT-Alert gibt's ja nicht, weil es keinen "Gruppen-CVE" gibt.
Ist aber nur geraten, bei der Welle, die ansonsten jede Apple-Sicherheitslücke hervorruft versteh' ich auch gerade nicht, was hier (nicht) passiert.
Nur mal ein paar Auszüge jenseits der Zusammenfassungen (alles von Project Zero, ich verlinke das nicht alles, liest ja doch keiner die Primärquellen):
"(...) the exploit techniques which were used suggest that this exploit was written around the time of iOS 10. This suggests that this group had a capability against a fully patched iPhone for at least two years."
"This chain targeted iOS 11-11.4.1, spanning almost 10 months. (...) It’s difficult to understand how this error could be introduced into a core IPC library that shipped to end users. While errors are common in software development, a serious one like this should have quickly been found by a unit test, code review or even fuzzing. (...) targets: 5s through X, 11.0 through 11.4"
"It's the kernel bug used here which is, unfortunately, easy to find and exploit (...) targets: 5s through X, 12.0 through 12.1 (vulnerabilities patched in 12.1.4)" - das ist m.V.n. die einzige der fünf Exploit-Chains, die mit 12.1.4 gepatcht wurde.
"The more important takeaway, however, is what the vulnerability was. In 2014, Apple added an unfinished implementation of a new feature named “vouchers” and part of this new code was a new syscall (...) which (...) never worked. To be clear, if there had been a test which called the syscall (...) it would have caused a kernel panic. If any Apple developer had attempted to use this feature during those four years, their phone would have immediately crashed."
Was also die Bewertung hier so schwierig macht ist weniger das "ist mein iDevice jetzt sicher?" (iOS >12.1.4 vmtl., iOS 10+11 sicher nicht), sondern die Tatsache, dass diese Implants jahrelang in Betrieb waren!
Wenn ich jetzt lese, dass sogar der Schlüsselbund offen war, graust es mich wirklich,
meine Chats und Mails.... sehr ärgerlich aber könnte/müsste ich ertragen.
Hier eine ganz gute Übersicht mit ein par Beispielen, was das in der Praxis bedeutet.
Wäre schön, wenn man jetzt sofort prüfen könnte ob man betroffen ist, bzw. welche Seiten man besucht haben müsste.
Und du weisst noch, welche Webseiten du seit iOS 10 besucht hast?
Deren Hinweise sind sehr nebulös, lassen viel Raum für Spekulationen.
Was ist denn an deren Hinweisen "nebulös"? Sehr viel detaillierter geht es ja wohl kaum. Was vmtl. nicht geht ist herauszufinden, welche Webseiten in den letzten 2-4 Jahren zu welchem Zeitpunkt welche Patches hatten und damit potentiell eine der fünf Exploit-Chains auslösen könnten und das mit den Surfdaten von n-Millionen iDevice Nutzern für den gleichen Zeitraum abgleichen. Zumal je nach Patchlevel und Zeit des Patches ein- und dieselbe Webseite für eine Chain Auslöser gewesen sein kann, für andere aber nicht.
Das Verhältnis Google / China ist ebenfalls sehr fragwürdig.
Was hat denn Google damit zu tun? Das Ziel sind doch Apple Nutzer.
Ganz ehrlich, dass man selbst betroffen ist, ist schon sehr unwahrscheinlich.
Also zu dieser Schlussfolgerung kann man mit dem aktuellen Informationsstand beim besten Willen nicht kommen.
Und dann vermutlich auch alle im Ausland.
Und wie in aller Welt kommst du zu diesem Schluss?
Mein Bild vom unverwundbaren iPhone bröckelt...
Jetzt erst?
Das regelt Apple bei weitem besser...Updates sofort
Dann lies' mal oben die Zitate.
Das ist Blödsinn, siehe link in diesem Beitrag mit Konkreten Beispielen zu iMessage, WhatsApp, Telegram, Gmail... usw. - was daran "besonders in China beliebte Dienste" sein sollen, weiss nur der Nutzer des Heise-Forums, der den von dir zitierten Beitrag geschrieben hat.
