Safari-Absturz - dann Info wegen schwerer Sicherheitslücke

[k-mac]

Liebe Forenteilnehmer,

ich arbeitete vorhin am Mac, Safari war offen (ein paar Webseiten, Twitter, Telegram, Youtube) und stürzte aus dem nichts ab. Habe mir nichts bei gedacht, Meldung wurde an Apple gesendet.

5 Minuten später erfuhr ich, dass es eine kritische Sicherheitslücke in Safari gibt, die bereits aktiv ausgenutzt wird: https://www.mactechnews.de/news/article/iOS-15-3-1-und-macOS-12-2-1-Apple-schliesst-kritische-Schwachstelle-Updates-auch-fuer-Big-Sur-und-Catalina-179497.html

Nun gehe ich fest davon aus, dass ich erwischt wurde, da es absolut unüblich ist, dass Safari einfach so plötzlich abstürzt.

Mein Vorgehen:
- Update eingespielt
- Mac vom Netz getrennt

Was mich nun beschäftigt:
1.Wie bekomme ich eine saubere Neuinstallation hin? Ich möchte den Mac neu aufsetzen, alle Daten sollen dabei gelöscht werden (Habe noch ein älteres Backup).
2. Einige Dateien sichere ich über einen Stick, die nicht in meinem alten Backup enthalten sind. Wie kann ich sicher gehen, dass sich dort nicht irgendwo Maleware festgebissen hat, die ich ja beim zurückspielen auf das frische System dann wieder einbringen würde.
3. Es heißt in den Beschreibungen, dass durch die Lücke "Beliebiger Programmcode" auf den betreffenden Maschinen ausgeführt werden kann. Ich gehe also davon aus, dass es keinen Sinn macht, hier auf bekannte Trojaner oder so suchen zu lassen, korrekt?

Ich hätte gerne eure Einschätzung dazu und vielleicht noch einen hilfreichen Tipp. Habe ich evtl. etwas wichtiges vergessen?

Schöne Grüße
--
k-mac

 

[oneOeight]

Guck doch erstmal ins Crash Log warum Safari abgestürzt ist.
Muss nicht mit Lücke zusammenhängen.

Wenn Safari bei der Lücke auch noch crasht, dann wäre es auch ein schlechter Exploit.

 

[k-mac]

Hi One,

das habe ich mir auch schon gedacht, ein Crash könnte auch passieren, wenn der Zugriff der Schadsoftware nicht geklappt hat wie erhofft. Anbei der Screenshot aus dem Crasch-Log (Foto, da Mac nicht am Netz hängt).

Schöne Grüße
—
k-mac

 

[k-mac]

Ach ja: macOS 11.6.3.

 

[oneOeight]

Da war ein Index außerhalb der Range.
Liest sich jetzt nicht nach einer Use after Free Lücke.
Aber die CVE hat noch keine Infos.

11.6.3? Die Lücke ist in 12.2 mit Patch 12.2.1.

 

[k-mac]

Danke soweit. Ist die Lücke erst ab 12.2 mit 12.2.1 oder auch davor? Apple hat das Security-Fix ja auch schon für Big Sur und Catalina zur Verfügung gestellt (siehe Link im Ausgangsposting)

Beste Grüße

 

[MOM2006]

Danke soweit. Ist die Lücke erst ab 12.2 mit 12.2.1 oder auch davor? Apple hat das Security-Fix ja auch schon für Big Sur und Catalina zur Verfügung gestellt (siehe Link im Ausgangsposting)

Beste Grüße

12.2.1 fixed es wohl. 12.2.1 kam wohl extra noch wegen bluetooth issues bei intel macbooks. ansonsten hätt wohl ein safari only update bei 12.2 auch gereicht

 

[k-mac]

Hi MOM,

ja, 12.2.1 ist der Fix, aber war die Lücke erst ab 12.2 vorhanden oder auch schon vorher (also dann auch bei mir unter Big Sur 11.6.3. Suche schon das Netz ab, kann aber dazu nichts finden.

Beste Grüße

 

[MOM2006]

die Lücke war in big sur 11.6.3 vorhanden wegen dem safari. da kam der patch erst heute in form safari 15.3 update

 

[oneOeight]

Danke soweit. Ist die Lücke erst ab 12.2 mit 12.2.1 oder auch davor? Apple hat das Security-Fix ja auch schon für Big Sur und Catalina zur Verfügung gestellt (siehe Link im Ausgangsposting)

Der Artikel ist nicht akkurat.
12.2.1 fixt eine andere Webkit Lücke
https://support.apple.com/de-de/HT213092 als das Safari 15.3 Update
https://support.apple.com/de-de/HT213058

 

[k-mac]

Ja, habe ich mir gedacht.

Mein Plan: 2 TB Speicherplan abschließen, meine Daten rüberschieben, dann macOS Monterey installieren mit Festplatte löschen bei der Neuinstallation, danach alte Files (PDFs, usw) aus iCloud zurück auf den Mac laden, Speicherplan wieder reduzieren.

Oder wie würdet Ihr es machen?

 

[MOM2006]

das machts bei apple aber auch etwas kompliziert. wär sinnvoller alle cves würden, analog zu microsoft, an einem tag bekommen und nicht über wochen verzögert.

 

[Ken Guru]

Oder wie würdet Ihr es machen?

Lokales Backup. Ist sowieso grundsätzlich empfehlenswert. Gegen iCloud noch zusätzlich spricht nichts.

 

[oneOeight]

das machts bei apple aber auch etwas kompliziert. wär sinnvoller alle cves würden, analog zu microsoft, an einem tag bekommen und nicht über wochen verzögert.

War wohl ein Notfall Update weil ausgenutzt wurde.

 

[k-mac]

Mag paranoid klingen, aber wenn ich nun auf dem vermeintlich kompromittierten System macOS 12 über die Softwareaktualisierung lade und das System dann neu aufsetze, wer garantiert mir, dass sich die Schadsoftware nicht an das macOS 12 Installationspaket hängt und mir damit ein frisches, aber wieder infiziertes System installiere?

One: Ich habe folgenden Text gefunden:
"Bei der Zero-Day-Schwachstelle, die unter der Bezeichnung CVE-2022-22620 geführt wird, handelt es sich um ein Use-After-Free-Problem, das mit der fehlerhaften Verwendung von dynamischem Speicher während des Programmbetriebs zusammenhängt.

Im Fall von Apples Zero-Day können Bedrohungsakteure beliebigen Code auf den betroffenen Geräten ausführen, nachdem sie bösartig gestaltete Webinhalte verarbeitet haben, so das Unternehmen in einer Beschreibung des Fehlers. Die Schwachstelle kann auch zu unerwarteten Abstürzen des Betriebssystems führen.

“Apple ist sich eines Berichts bewusst, dass dieses Problem aktiv ausgenutzt worden sein könnte”, schreibt das Unternehmen in seinen Update-Notizen.

Der einfachste Weg, wie Bedrohungsakteure die Schwachstelle ausnutzen können, ist die Wiederverwendung von freigegebenem Speicher durch das System, heißt es in der Beschreibung der Schwachstelle auf der Common Weakness Enumeration Website. “Wenn Speicher referenziert wird, nachdem er freigegeben wurde, kann ein Programm abstürzen, unerwartete Werte verwenden oder Code ausführen”, heißt es in dem Beitrag."

Quelle: https://alltechnews.de/apple-flickt-aktiv-ausgenutzten-webkit-zero-day-9160

Kannst Du aus dem Crash-Protokoll sowas ausschließen? Handelt es sich denn lt. Crash-Log im Zusammenhang um dynamischen Speicher?

Ich bin so wütend auf Apple, dass mir so spät vom System das Update angezeigt wird. Ich habe mir jetzt ein Chromebook bestellt, die ganzen reinen Surf-Arbeiten, Twitter, usw. laufen jetzt halt darüber. Offenbar muss ich meinen Mac als Produktivsystem vor Angriffen schützen, Apple träumt hier offenbar nur so vor sich hin. So viel Ärger wie ich jetzt haben, ohne dann sicher zu sein, dass ich überhaupt wieder ein cleanes Systes hinbekomme.

Aber ich danke für Eure Hilfe.

Beste Grüße

 

[oneOeight]

Kannst Du aus dem Crash-Protokoll sowas ausschließen? Handelt es sich denn lt. Crash-Log im Zusammenhang um dynamischen Speicher?

Aus den Zeilen auf dem Foto kann man nur spekulieren, sieht für mich aus, als wäre Safari bei einer Text Eingabe abgestürzt, weil die Eingabe zu lang war oder in einem Textfeld war nicht genug Platz.
Aber ist zu wenig Log, um es genauer zu sehen.

 

[BalthasarBux]

Ich bin so wütend auf Apple, dass mir so spät vom System das Update angezeigt wird

Unter 20 Stunden nach Release ist nicht langsam, sondern recht gut.

Nun gehe ich fest davon aus, dass ich erwischt wurde,

Das ist eher das Problem. Du bist dir schon sicher, dass du betroffen bist, bevor es überhaupt Indizien gibt.
Vorsicht ist gut, aber das klingt dezent übertrieben.

 

[oneOeight]

Unter 20 Stunden nach Release ist nicht langsam, sondern recht gut.

Ähm, kam das Safari 15.3 Update nicht schon Ende Januar?
Es geht hier um Big Sur, nicht Monterey.

Der TE regt sich über die Monterey Lücke auf, die ihn an sich nicht betrifft.

 

[JARVIS1187]

Meine Geräte haben alle das Update angezeigt, nachdem ich die Meldung hier gesehen habe. Ich habe lediglich nicht alle gleich geupdated.

Zu dem Crash: Derartige Fehler habe ich bereits beim selbst Entwickeln von Websites und co. gesehen.
Ich würde den Crash eher als Schutz sehen, dass niemand aus einer Sandbox (im Speicher) ausbricht oder versucht, alte Informationen einzusehen - insofern wäre da alles ok und man müsste sich keine Gedanken machen.
Passierte bei mir bei Big Sur das erste Mal und eben nun auch weiterhin. Auch heute wieder, nach dem Update. Ich persönlich schließe es daher generell aus, dass das an der Lücke liegt.

 

[BalthasarBux]

kam das Safari 15.3 Update nicht schon Ende Januar?
Es geht hier um Big Sur, nicht Monterey.

Gelesen hab ich das, verarbeitet wohl nicht. Gut, dass Freitag ist.