Schadcode per Videoanruf: Apple-Nutzer sollten Updates einspielen
Eine Schwachstelle in Apples Kommunikationsdienst FaceTime erlaubt, Code einzuschleusen. Auch ältere iPhones erhalten ein Update.
Mit den jüngsten Betriebssystem-Updates hat Apple eine gravierende Schwachstelle im hauseigenen VoIP-Dienst FaceTime geschlossen. Die Sicherheitslücke scheint es entfernten Anrufern zu ermöglichen, allein durch FaceTime-Videoanrufe beliebigen Programmcode auf Geräten einzuschleusen.
Bei der Verarbeitung manipulierter Videos durch FaceTime könne es zur Ausführung beliebigen Codes kommen, vermerkt Apple in den Sicherheitshinweisen zu den jüngsten Updates.
Google-Sicherheitsforscherin klopft FaceTime ab
Ausführliche Details zu der Schwachstelle (CVE-2019-8830) liegen bislang nicht vor. Sie wurde erneut von der Google-Project-Zero-Sicherheitsforscherin Natalie Silvanovich gefunden, die Apples Kommunikationsdienste seit längerem auf Lücken abklopft und bereits mehrere kritische Bugs an Apple gemeldet hat. Im vergangenen Jahr veröffentlichte Silvanovich nach dem Apple-Fix auch Beispiel-Exploits für eine ähnliche FaceTime-Schwachstelle. Demo-Exploits könnten auch nun wieder in Kürze erscheinen, entsprechend sollten Nutzer die bereitgestellten Updates einspielen.
Den Bug hat der Hersteller in iOS und iPadOS 13.3 [1] sowie macOS 10.15.2 [2] beseitigt. Auch ältere Betriebssystemversionen erhalten eine Aktualisierung, so gibt es wie gewohnt Sicherheits-Updates für macOS 10.14 Mojave und macOS 10.13 High Sierra.
Updates auch für iOS 12 und watchOS 5
Die Lücke scheint kritisch genug, dass Apple erneut ein spezielles Sicherheits-Update für iOS 12 (Version 12.4.4) bereitstellt, das für iPhone 5s, iPhone 6, 6 Plus, iPad Air, iPad mini 2/3 und iPod touch 6 gedacht ist. Apple hat in diesem Jahr erstmals begonnen, Sicherheits-Updates für ältere iOS-Versionen bereitzustellen [3].
Der Fehler wurde den Release Notes zufolge auch in tvOS 13.3 sowie watchOS 6.1.1 beseitigt. Speziell für Apple-Watch-Nutzer, die auf dem iPhone noch iOS 12 betreiben, gibt es watchOS 5.3.4, das ebenfalls den FaceTime-Bug ausräumt. watchOS 6 lässt sich erst auf der Apple Watch installieren, wenn das Begleit-iPhone bereits auf iOS 13 ist.
(lbe [4])
URL dieses Artikels:
https://www.heise.de/-4612058
Links in diesem Artikel:
[1] https://www.heise.de/mac-and-i/meldung/iOS-13-3-Co-Apple-stellt-neue-Betriebssystem-Updates-bereit-4610588.html
[2] https://www.heise.de/mac-and-i/meldung/macOS-10-15-2-Bugfixes-iTunes-Remote-und-die-Rueckkehr-einer-Listenansicht-4610623.html
[3] https://www.heise.de/mac-and-i/meldung/iPhone-6-Co-Apple-schliesst-Sicherheitsluecken-auf-alten-Geraeten-4571815.html
[4] mailto:lbe@heise.de
Copyright © 2019 Heise Medien