2504247

Googles Project Zero entdeckt Lücken in Apples Image I/O

29.04.2020 | 09:10 Uhr | Peter Müller

iPhone, iPad und Mac immer auf dem aktuellen Stand halten – dann wird man auch nicht von Sicherheitslücken kalt erwischt. Auf einen Patch für die Lücken in Mail unter iOS und iPadOS wartet man aber weiter.

Googles Sicherheitsteam Project Zero berichtet über Sicherheitslücken in Image I/O , die Apple in Patches aus dem Januar und April bereits geschlossen hat. Das Framework ist in allen Apple-Plattformen macOS, iOS, iPadOS, tvOS und watchOS enthalten und dient dem Parsen von Bild- und anderen Mediaformaten. Mit einer Technik namens Fuzzing könnten Angreifer jedoch mittels manipulierter Mediendateien die Schwachstellen des Frameworks und des verwandten, für HDR zuständigen Frameworks, OpenEXR ausfindig machen und darüber Fremdcode ohne Mitwirkung des Nutzers auf dem Gerät ausführen lassen. Apple solle in Zukunft besser auf Fuzzing testen, empfehlen Googles Sicherheitsexperten.

Es zeigt sich also wieder einmal, dass man seine Systeme stets auf dem aktuellen Stand halten soll. Apple erfährt in der Regel rechtzeitig von neuen Sicherheitslücken und kann reagieren, bevor diese der Öffentlichkeit bekannt werden. Eine Ausnahme bildet jedoch die in der vergangenen Woche bekannt gewordene Problematik um Lücken in Mail für iOS und iPadOS . Bevor Apple mit einem Update reagieren konnte, hatten die Sicherheitsexperten von ZecOps sie publik gemacht, weil sie angeblich in Einzelfällen bereits ausgenutzt wurde. Apple widerspricht dieser Darstellung : Die Lücke sei zwar real, könne aber nur in einem unwahrscheinlichen Zusammenspiel mit anderen Fehlern ausgenutzt werden. In den Betas von iOS 13.4.5 und iPadOS 13.4.5 ist sie bereits geschlossen, die finale Version des Updates könnte Apple daher vorziehen – oder als iOS/iPadOS 13.4.3 veröffentlichen. Halten Sie Ihre iPhones und iPads aber schon mal für die Installation bereit.

Macwelt Marktplatz

2504247