Neues Apple-Update soll Sicherheitslücke in ImageIO schliessen

Apple stellt seit letztem Donnerstagabend die Versionen iOS 16.6.1, iPadOS 16.6.1 und macOS 13.5.2 zum Download bereit. Die Angaben zu diesen Versionen sind schlicht: Sie enthalten Sicherheitskorrekturen.

Auf Apples offizieller Supportseite ist zu lesen, dass diese Updates einen Fehler im Programm korrigieren sollen. Hierbei handle es sich um eine Sicherheitslücke, mit der Dritte potenziell Zugriff auf das Betriebssystem erlangen können. Wie Apple mitteilt, sind dem Unternehmen Berichte bekannt, wonach einige diese Sicherheitslücke bereits ausgenutzt haben. Dies erfolgt einen Monat nachdem Apple bereits eine kritische Lücke gepatcht hat.

Gemäss der Forschungsorganization Citizen Lab an der University of Toronto werden die Lücken vom Sicherheitsunternehmen NSO Group eingesetzt. Apple hat dieses Unternehmen bereits verklagt. Die Forscher selber haben den Exploit als "BLASTPASS" bezeichnet. Dies, weil der Exploit ohne Aktion eines Nutzers zu einer Infektion auf dem Gerät führt, also ein sogenannter Zero-Click-Angriff. 

Laut den Forschenden erfolgt der Angriff über PassKit-Anhänge mit bösartigen Bildern, die der Angreifer über ein iMessage-Konto versendet. Laut Apple sind besonders iOS 16.6 und iPadOS 16.6 anfällig für den Exploit. Der Angriff selbst erfolgt über Lücken in der Bildverarbeitungsroutine ImageIO (CVE-2023-41064). Dies erlaubt die Ausführung von unerwünschten Codes.

Neben der Bildverarbeitungssoftware soll auch die Wallet-App für die Verwaltung von Kreditkarten und Verkehrstickets Sicherheitslücken enthalten. Dies soll ebenfalls zur Ausführung beliebiger Codes führen. Apple möchte beide Probleme durch verbesserte Speicherbehandlung beziehungsweise "eine verbesserte Logik" behandeln.

Übrigens: Einige Tipps, wie Sie sich vor unautorisierten Zugriffen schützen können, finden Sie hier.