OS X und iOS: „Stagefright“-ähnliche Sicherheitslücke wurde am Montag behoben

Wer es bislang noch nicht getan hat, sollte seine Apple-Geräte mit dem Update ausstatten, das am Montag veröffentlicht wurde. Denn es wurde eine Sicherheitslücke behoben, die ähnliche Ausmaße angenommen haben könnte wie die „Stagefright“-Lücke in Android-Geräten. Ein manipuliertes TIFF-Bild genügt bereits, um sie auszunutzen.

Updates stopfen Sicherheitslücke

Entwickler von Cisco haben eine Sicherheitslücke in allen aktuellen Apple-Betriebssystemen gefunden, die sich von Angreifern ausnutzen lässt, um die Kontrolle über das System zu erlangen. Eine Erklärung dazu wurde jedoch erst nach Veröffentlichung der Updates abgegeben, die die Lücke stopfen. Mit einem manipulierten Bild im TIFF-Format ist es möglich, dass ein Angreifer die Kontrolle über das System erlangen kann. Damit kann beispielsweise der Mac als Teil eines Botnets eingerichtet werden oder sensible Daten ausgelesen werden.

Die Lücke erinnert in ihrer Art an „Stagefright„. Diese Lücke betrifft viele Android-Smartphones, die nicht gepatcht wurden. Dabei reicht es, wenn ein manipuliertes Bild empfangen wird, um sie auszunutzen. Das ist auch in diesem Fall so. Da die Lücke in Apples Image I/O API ist, genügt es, einem beliebigen Programm, das die Schnittstelle nutzt, ein solches Bild zu präsentieren. Das kann eine E-Mail sein, aber auch eine iMessage.

Offenbar besteht durch die Lücke derzeit keine unmittelbare Gefahr, auch nicht für Geräte, die noch nicht aktualisiert wurden. Es soll sich bei der Cisco-Präsentation um einen Proof-of-Concept handeln, aktiv genutzt wird die Schwachstelle derzeit wohl nicht. Prophylaktisch sollte man dennoch auf OS X 10.11.6, iOS 9.3.3, watchOS 2.2.2 und tvOS 9.2.2 aktualisieren, um das System abzusichern.

Ähnliche Nachrichten