Apple sagt, dass kürzlich entdeckte iOS-Mail-Sicherheitslücken keine unmittelbare Bedrohung darstellen, aber ein Patch ist in Arbeit

Apple hat auf eine aktuelle Prüfbericht zu Schwachstellen, die in seiner iOS Mail-App entdeckt wurden, und behaupten, dass die Probleme kein unmittelbares Risiko für Benutzer darstellen.

Anfang dieser Woche sagte das in San Francisco ansässige Cybersicherheitsunternehmen ZecOps, es habe zwei Zero-Day-Sicherheitslücken aufgedeckt, die Apples Aktien-Mail-App für iPhones und iPads betreffen.

Eine der Schwachstellen soll es einem Angreifer ermöglichen, ein iOS-Gerät aus der Ferne zu infizieren, indem er E-Mails sendet, die viel Speicher verbrauchen. Ein anderer könnte Remotecode-Ausführungsfunktionen ermöglichen. Die erfolgreiche Ausnutzung der Sicherheitslücken könnte es einem Angreifer möglicherweise ermöglichen, die E-Mails eines Benutzers durchsickern zu lassen, zu ändern oder zu löschen, behauptete ZecOps.

Allerdings hat Apple die Schwere der Probleme in der folgenden Erklärung heruntergespielt, die an mehrere Medien weitergegeben wurde.

„Apple nimmt alle Meldungen über Sicherheitsbedrohungen ernst. Wir haben den Bericht des Forschers gründlich untersucht und sind aufgrund der bereitgestellten Informationen zu dem Schluss gekommen, dass diese Probleme keine unmittelbare Gefahr für unsere Benutzer darstellen. Der Forscher identifizierte drei Probleme in Mail, aber sie allein reichen nicht aus, um die Sicherheitsvorkehrungen für iPhone und iPad zu umgehen, und wir haben keine Beweise dafür gefunden, dass sie gegen Kunden verwendet wurden. Diese potenziellen Probleme werden in Kürze in einem Software-Update behoben. Wir schätzen unsere Zusammenarbeit mit Sicherheitsforschern, um die Sicherheit unserer Benutzer zu gewährleisten, und danken den Forschern für ihre Unterstützung.'

Die Schwachstellen sollen alle Softwareversionen zwischen iOS 6 und iOS 13.4.1 betreffen. Laut ZecOps hat Apple die Schwachstellen in der neuesten Beta von iOS 13.4.5 gepatcht, die in den kommenden Wochen öffentlich veröffentlicht werden soll. Bis dahin empfiehlt ZecOps, eine E-Mail-App eines Drittanbieters wie Gmail oder Outlook zu verwenden, die offenbar nicht betroffen sind.