Von iOS bis macOS: Apple schließt gravierende Sicherheitslücken
Mit den jüngsten Updates für alle vier Betriebssysteme hat Apple zahlreiche Schwachstellen ausgeräumt. Dazu gehört auch eine Lücke, die beim reinen Ansehen einer JPEG-Datei das Einschleusen von Schadcode ermöglicht.
Apples jüngste Aktualisierung der vier Betriebssysteme iOS, macOS, watchOS und tvOS beseitigt schwere Sicherheitslücken, wie das Unternehmen in mehreren Support-Dokumenten mitteilt. So sollen sowohl iOS 10.1 als auch macOS 10.12.1, watchOS 3.1 und tvOS 10.0.1 eine Schwachstelle ausräumen, die einem Angreifer das Ausführen von Schadcode ermöglicht, sobald der Nutzer eine manipulierte JPEG-Datei ansieht – offenbar reicht es dabei aus, wenn auf diese etwa im Browser oder mit einem Messenger zugegriffen wird.
Dieses “Memory Corruption”-Problem im Core-Graphics-Framework, welches auf allen vier Plattformen vertreten ist, sei durch verbessertes Speichermanagement behoben worden, teilte Apple mit. Ob die Lücke bereits aktiv ausgenutzt wird, bleibt allerdings unklar. Nutzer sollten ihre Geräte aber umgehend auf die jeweils aktuellste Betriebssystemversion bringen.
Schadcode-Einschleusen auch durch manipulierte Web-Inhalte
Weitere “Memory Corruption”-Probleme in WebKit ermöglichen zudem das Ausführen von Schadcode beim Ausführen von “böswillig erstellten Web-Inhalten”, wie Apple aufführt – dies betrifft alle Systeme mit Ausnahme von watchOS, in macOS soll Safari 10.0.1 das Problem beseitigen, der Browser ist in macOS 10.12.1 integriert und steht als Einzel-Update für ältere OS-X-Versionen zum Download bereit.
Die Updates beseitigen außerdem weitere Schwachpunkte in Sandbox-Profilen, die es einer App unter anderem ermöglichen, Metadaten zu Verzeichnissen mit Audioaufnahmen sowie Fotos auszulesen. Apple hatte bei den Sandbox-Profilen bereits mit iOS 10 nachgebessert, nachdem Wissenschaftler mehrerer Universitäten auf “bedenkliche Sicherheitslücken” in iOS hingewiesen hatten.
Apps können Code mit Root-Rechten ausführen
Eine Schwachstelle in libxpc versetzt Apps zudem in die Lage, bösartigen Code mit Root-Rechten auszuführen, merkt Apple an – auch diesen Fehler sollen sowohl iOS 10.1, watchOS 3.1, tvOS 10.0.1 sowie macOS 10.12.1 ausräumen. Auch die einzeln veröffentlichten Sicherheits-Updates für OS X 10.11 El Capitan und OS X 10.10 Yosemite schließen bestimmte Sicherheitslücken wie etwa bei libxpc, lassen andere aber wohl offen – der JPEG-Bug wird nur in macOS 10.12.1 behoben. (lbe)