• IT-Karriere:
  • Services:

Gepatchte Lücken: Hatte Apple seinen eigenen Stagefright-GAU?

Gravierende Sicherheitslücken in seinen Betriebssystemen hat Apple mit ganz unauffälligen Updates am Montag beseitigt. Sie ermöglichten es, aus der Ferne Schadcode auszuführen, und werden sogar mit Androids Stagefright-Desaster verglichen. Aber es gibt Unterschiede.

Artikel veröffentlicht am ,
Hatte Apple seinen eigenen Stagefright-GAU?
Hatte Apple seinen eigenen Stagefright-GAU? (Bild: Apple/Bildmontage: Golem.de)

Als Apple am 18. Juli Software-Updates seiner aktuellen Betriebssysteme veröffentlichte, lief dies vielfach unter "kleinere Korrekturen" und "relativ uninteressant". Auch Golem.de berichtete.

Stellenmarkt
  1. Hays AG, Brandenburg
  2. Schwarz Dienstleistung KG, Raum Neckarsulm

Dabei patchen die Aktualisierungen auf iOS 9.3.3, OS X v10.11.6, WatchOS 2.2.2 und TVOS 9.2.2 jeweils eine Lücke in Apples Grafikbibliothek Core Graphics, die Androids Stagefright-GAU manchen Berichten zufolge in nichts nachsteht. Wie das Stagefright-Pendant soll sich die Apple-Lücke über das Internet einfach durch den Empfang einer präparierten Bilddatei ausnutzen lassen. Dabei soll es unerheblich sein, ob die Bilddatei über MMS, Webseiten oder andere Sofortnachrichtendienste empfangen wird.

Genauso schlimm wie Stagefright?

Gefährdete Bildformate sind laut Security Advisory neben BMP-Bitmaps und TIFFs auch OpenEXR und Digital Asset Exchange. "Bilddateien sind ein perfekter Angriffsvektor, weil sie sehr einfach über das Web oder E-Mail-Verkehr verteilt werden können, ohne beim Empfänger Misstrauen zu wecken", schreibt der Entdecker der Lücken, Tyler Bohan von Cisco Talos.

Weil Apples Core Graphics empfangene Bilder automatisch bearbeite, um etwa Thumbnails zu erstellen, könne ein Angreifer Schadcode auf dem Zielgerät ausführen, ohne dass dabei notwendigerweise eine Interaktion des Nutzers Voraussetzung sei.

Update-Reichweite macht den Unterschied

Andere Stimmen warnen jedoch vor dem Vergleich mit Stagefright. Glenn Fleishman weist in Macworld darauf hin, dass einige der vermuteten Angriffswege noch gar nicht in der Praxis erwiesen seien. Zwar habe Bohan erfolgreich Attacken gegen Safari und OS X getestet, MMS oder iMessage seien aber bisher nur theoretisch verwundbar.

Und ein weiterer großer Unterschied besteht: Während durch Stagefright alle Android-Versionen von 2.3 (Gingerbread) bis 5.1 (Lollipop) betroffen sind, ist die Zahl der verwundbaren Apple-Geräte überschaubar. Darüber hinaus wird Stagefright aufgrund des typischerweise langsamen Rollouts von Android-Updates durch die Smartphone-Hersteller noch über Jahre hinaus Millionen Geräte betreffen. Auch im Juli 2016 laufen noch 86,7 Prozent aller Android-Geräte unter Version 5.1 oder älteren Versionen.

Apple-Updates verbreiten sich traditionell viel schneller. Beispiel: iOS 9 wurde am 15. September 2015 veröffentlicht. Zweieinhalb Monate später lief es bereits auf 70 Prozent aller iPhones.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Crucial Ballistix Sport LT 16 GB DDR4-3200 für 62,39€ statt 76,98€ im Vergleich)
  2. (u. a. SanDisk Extreme microSDXC 400 GB für 77€ und Philips NeoPix Ultra für 349€ statt 449...
  3. 3€
  4. (u. a. Need for Speed Heat für 37,99€, Star Wars Jedi - Fallen Order Deluxe Edition XBO Code...

subjord 24. Jul 2016

Es ist halt die frage. Wenn man ein gutes Hackerziel darstellt, da man beruflich etwas...

Cerb 23. Jul 2016

denn letztendlich weiß keiner wie lange die Lücke schon bestimmten Gruppierungen oder...

MarioWario 22. Jul 2016

und auch der US-Support von Apple konnte das Problem mit meinem MBP aus 2011...

ap (Golem.de) 22. Jul 2016

Und auch ab hier gehts auf die Wiese.

Dummer Mensch 22. Jul 2016

Haben die schon lange, Stichwort Android one. Bloß nutzt kaum irgendein Smartphone...


Folgen Sie uns
       


Razer Eracing Simulator ausprobiert (CES 2020)

Der Eracing Simulator von Razer versucht, das Fahrgefühl in einem Rennwagen wiederzugeben. Dank Motoren und einer großen Leinwand ist die Immersion sehr gut, wie Golem.de im Hands on feststellen konnte.

Razer Eracing Simulator ausprobiert (CES 2020) Video aufrufen
Data Scientist: Ein Mann, der mit Daten Leben retten will
Data Scientist
Ein Mann, der mit Daten Leben retten will

Senfgelbes Linoleum im Büro und weniger Geld als in der freien Wirtschaft - egal, der Data Scientist Danilo Schmidt liebt seinen Job an der Charité. Mit Ärzten entwickelt er Lösungen für Patienten. Die größten Probleme dabei: Medizinersprech und Datenschutz.
Ein Porträt von Maja Hoock

  1. Computerlinguistik "Bordstein Sie Ihre Erwartung!"
  2. OpenAI Roboterarm löst Zauberwürfel einhändig
  3. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

Galaxy-S20-Serie im Hands-on: Samsung will im Kameravergleich an die Spitze
Galaxy-S20-Serie im Hands-on
Samsung will im Kameravergleich an die Spitze

Mit der neuen Galaxy-S20-Serie verbaut Samsung erstmals seine eigenen Isocell-Kamerasensoren mit hoher Auflösung, auch im Zoombereich eifert der Hersteller der chinesischen Konkurrenz nach. Wer die beste Kamera will, muss allerdings zum sehr großen und vor allem wohl teuren Ultra-Modell greifen.
Ein Hands on von Tobias Költzsch, Peter Steinlechner und Martin Wolf

  1. Galaxy Z Flip Samsung stellt faltbares Smartphone im Folder-Design vor
  2. Micro-LED-Bildschirm Samsung erweitert The Wall auf 583 Zoll
  3. Nach 10 kommt 20 Erste Details zum Nachfolger des Galaxy S10

O2 Free Unlimited im Test: Telefónica macht echte Datenflatrate erschwinglich
O2 Free Unlimited im Test
Telefónica macht echte Datenflatrate erschwinglich

Telefónica startet eine kleine Revolution im Markt für Mobilfunktarife: Erstmals gibt es drei unterschiedliche Tarife mit unlimitierter Datenflatrate, die sich in der maximal verfügbaren Geschwindigkeit unterscheiden. Wir haben die beiden in der Geschwindigkeit beschränkten Tarife getestet und sind auf erstaunliche Besonderheiten gestoßen.
Ein Test von Ingo Pakalski

  1. Telefónica Neue O2-Free-Tarife verlieren endloses Weitersurfen
  2. O2 My Prepaid Smartphone-Tarife erhalten mehr ungedrosseltes Datenvolumen
  3. O2 Free Unlimited Basic Tarif mit echter Datenflatrate für 30 Euro

    •  /