Google-Sicherheitsforscher: Apples zentrales Bild-Framework schlecht abgesichert
Fehler in dem Framework können Angriffe auf iPhones aus der Ferne möglich machen, warnen die Forscher. Apple müsse besser auf Schwachstellen testen.
(Bild: Shutterstock.com / weedezign)
Googles "Project Zero"-Team ist bei automatisierten Software-Tests (Fuzzing) gleich auf mehrere Sicherheitslücken in Apples wichtigem Bild-Framework ImageIO gestoßen, die das Ausführen von Schadcode ermöglichen können. Da gängige Messaging-Apps das Framework zur Anzeige von Bildvorschauen in Benachrichtigungen nutzen, könne sich auf diesem Wege bösartiger Code aus der Ferne einschleusen und unmittelbar ausführen lassen, erläutern die Sicherheitsforscher, eine Nutzerinteraktion sei nicht erforderlich.
Schwachstellen von Apple geschlossen
Die Schwachstellen betreffen alle Apple-Betriebsysteme, wurden dem Hersteller gemeldet und mit Updates in iOS, iPadOS, macOS, tvOS und watchOS bereits geschlossen, wie Google anmerkt. Eine Reihe der aufgeführten Lücken räumt beispielsweise das Ende Januar veröffentlichte iOS / iPadOS 13.3.1 aus. Die Darstellung einer manipulierte Bilddatei könne "zur Ausführung willkürlichen Codes" genutzt werden, warnte Apple in einem nachträglich ergänzten Sicherheitshinweis. Es habe sich um Bugs gehandelt, durch die "Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten", teilte Apple mit, man habe dies durch eine verbesserte Eingabeüberprüfung behoben.
Es liege in der Hand des Betriebssystemherstellers – in diesem Fall Apple – solche Bugs und potentiellen Schwachstellen durch umfangreiches Fuzzing selbst aufzuspüren und umgehend zu schließen, heißt es in einem detaillierten Posting von Project Zero. Das liege nicht in der Verantwortung der Hersteller der Messenger, da dieser Code nicht zu ihrer Codebasis gehöre. Zudem sollte bei solchen Multimedia-Frameworks generell die Angriffsfläche verkleinert werden: ImageIO unterstütze derzeit noch sehr viele Bildformate, darunter auch obskure. Auch Entwickler von Messengern sollten die Zahl der akzeptierten Bildformate soweit wie möglich verringern.
Google-Fuzzer könnte Aufspüren weiterer Bugs erlauben
Google hat den für die Analyse von ImageIO verwendeten Fuzzer veröffentlicht. Man habe diesen mehrere Wochen mit einer kleinen Datenbank aus rund 700 Bildern in verschiedenen Formaten laufen lassen und sei dabei auf die Schwachstellen gestoßen, so die Sicherheitsforscher. Auch von ImageIO eingebundene Dritt-Libraries wie OpenEXR hätten sich als angreifbar erwiesen. Es sei wahrscheinlich, dass in dem Framework weitere Bugs bestehen "oder in Zukunft eingeführt werden".
t
(lbe)
