Neues Apple-Update soll Sicherheitslücke in ImageIO schliessen
UhrAm letzten Donnerstagabend hat Apple neue Updates für seine Betriebssoftware veröffentlicht. Sie enthalten einen Patch für eine Sicherheitslücke in der Bildverarbeitungssoftware.

Apple stellt seit letztem Donnerstagabend die Versionen iOS 16.6.1, iPadOS 16.6.1 und macOS 13.5.2 zum Download bereit. Die Angaben zu diesen Versionen sind schlicht: Sie enthalten Sicherheitskorrekturen.
Auf Apples offizieller Supportseite ist zu lesen, dass diese Updates einen Fehler im Programm korrigieren sollen. Hierbei handle es sich um eine Sicherheitslücke, mit der Dritte potenziell Zugriff auf das Betriebssystem erlangen können. Wie Apple mitteilt, sind dem Unternehmen Berichte bekannt, wonach einige diese Sicherheitslücke bereits ausgenutzt haben. Dies erfolgt einen Monat nachdem Apple bereits eine kritische Lücke gepatcht hat.
Gemäss der Forschungsorganization Citizen Lab an der University of Toronto werden die Lücken vom Sicherheitsunternehmen NSO Group eingesetzt. Apple hat dieses Unternehmen bereits verklagt. Die Forscher selber haben den Exploit als "BLASTPASS" bezeichnet. Dies, weil der Exploit ohne Aktion eines Nutzers zu einer Infektion auf dem Gerät führt, also ein sogenannter Zero-Click-Angriff.
Laut den Forschenden erfolgt der Angriff über PassKit-Anhänge mit bösartigen Bildern, die der Angreifer über ein iMessage-Konto versendet. Laut Apple sind besonders iOS 16.6 und iPadOS 16.6 anfällig für den Exploit. Der Angriff selbst erfolgt über Lücken in der Bildverarbeitungsroutine ImageIO (CVE-2023-41064). Dies erlaubt die Ausführung von unerwünschten Codes.
Neben der Bildverarbeitungssoftware soll auch die Wallet-App für die Verwaltung von Kreditkarten und Verkehrstickets Sicherheitslücken enthalten. Dies soll ebenfalls zur Ausführung beliebiger Codes führen. Apple möchte beide Probleme durch verbesserte Speicherbehandlung beziehungsweise "eine verbesserte Logik" behandeln.
Übrigens: Einige Tipps, wie Sie sich vor unautorisierten Zugriffen schützen können, finden Sie hier.

Keine Sozialkompetenz? Versuch's mal als "Dark Lord"

Der Beweis, dass Katzen flüssig sind

Das sind die häufigsten Angriffsvektoren bei IoT-Geräten

Futurae stellt die Geschäftsleitung um

Die vollkommen bizarre Welt der ausgestorbenen Krokodile

Der magischste Schulleiter unserer Kindheit

Mutmasslicher Tech-Support-Scammer angeklagt

Angreifern mit einem ganzheitlichen Cybersecurity-Ansatz zuvorkommen

Chinesische Cyberkriminelle haben es auf Cisco-Router abgesehen
