XARA-Lücke: Apple kündigt Fix für iOS und OS X an

Apple will mehrere schwerwiegende Lücken in iOS und OS X, die Sicherheitsforscher aus den USA und China entdeckt haben, demnächst schließen. In einem Statement gegenüber dem Apple-Blog iMore teilte der Hersteller mit, die sogenannten XARA-Probleme seien dem Unternehmen bekannt und es arbeite an einer Lösung.

Die Sicherheitsforscher hatten zuvor mitgeteilt, Apple schon im Oktober 2014 über die Fehler informiert zu haben. Nachdem es bislang keine Patches gab, entschlossen sie sich zu einer Veröffentlichung. Bevor Apple die Bugs in iOS und OS X endgültig fixt, soll es eine serverseitige Lösung geben. Diese "sichere App-Daten" und blockiere Programme mit Sandbox-Konfigurationsproblemen, so dass diese nicht mehr in den Mac App Store gelassen werden. "Zusätzliche Fehlerbehebungen sind in Arbeit", so der Konzern. Er kooperiere mit den Sicherheitsforschern und untersuche die von ihnen gemachten Aussagen.

Xara-Lücken sind weitreichend

Die XARA-Lücken erstrecken sich über mehrere Bereiche und stecken in verschiedenen Systemdiensten, die Apps zur Kommunikation untereinander nutzen können. Die “Cross-App Resource Access Attacks” oder kurz “XARA” genannten Angriffstechniken würden auch trotz der Abschottung von Apps durch Sandboxing funktionieren, meinen die Forscher. Teilweise sind sie in OS X 10.10.3 und 10.10.4 bereits behoben, doch diese Fixes sollen sich umgehen lassen.

Die Lücken haben das Potenzial, Passwörter zu stehlen sowie eigentlich abgeschotteten Apps Zugriff auf Inhalte anderer Programme zu erlauben. Agile Bits, Hersteller des 1Password-Programms, hatte die Probleme für den Passwordmanager unter OS X eingeräumt, sieht aber keine Möglichkeit, die Fehler selbst zu umgehen. Die Firma gab aber einige Tipps, wie sich XARA-Angriffe möglicherweise umschiffen lassen. (bsc)