Gepatchte Lücken: Hatte Apple seinen eigenen Stagefright-GAU?
Als Apple am 18. Juli Software-Updates seiner aktuellen Betriebssysteme veröffentlichte, lief dies vielfach unter " kleinere Korrekturen(öffnet im neuen Fenster) " und " relativ uninteressant(öffnet im neuen Fenster) ". Auch Golem.de berichtete .
Dabei patchen die Aktualisierungen auf iOS 9.3.3, OS X v10.11.6, WatchOS 2.2.2 und TVOS 9.2.2 jeweils eine Lücke in Apples Grafikbibliothek Core Graphics, die Androids Stagefright-GAU manchen Berichten zufolge (öffnet im neuen Fenster) in nichts nachsteht. Wie das Stagefright-Pendant soll sich die Apple-Lücke über das Internet einfach durch den Empfang einer präparierten Bilddatei ausnutzen lassen. Dabei soll es unerheblich sein, ob die Bilddatei über MMS, Webseiten oder andere Sofortnachrichtendienste empfangen wird.
Genauso schlimm wie Stagefright?
Gefährdete Bildformate sind laut Security Advisory(öffnet im neuen Fenster) neben BMP-Bitmaps und TIFFs auch OpenEXR und Digital Asset Exchange. "Bilddateien sind ein perfekter Angriffsvektor, weil sie sehr einfach über das Web oder E-Mail-Verkehr verteilt werden können, ohne beim Empfänger Misstrauen zu wecken" , schreibt der Entdecker der Lücken, Tyler Bohan von Cisco Talos.
Weil Apples Core Graphics empfangene Bilder automatisch bearbeite, um etwa Thumbnails zu erstellen, könne ein Angreifer Schadcode auf dem Zielgerät ausführen, ohne dass dabei notwendigerweise eine Interaktion des Nutzers Voraussetzung sei.
Update-Reichweite macht den Unterschied
Andere Stimmen warnen jedoch vor dem Vergleich mit Stagefright. Glenn Fleishman weist in Macworld(öffnet im neuen Fenster) darauf hin, dass einige der vermuteten Angriffswege noch gar nicht in der Praxis erwiesen seien. Zwar habe Bohan erfolgreich Attacken gegen Safari und OS X getestet, MMS oder iMessage seien aber bisher nur theoretisch verwundbar.
Und ein weiterer großer Unterschied besteht: Während durch Stagefright alle Android-Versionen von 2.3 (Gingerbread) bis 5.1 (Lollipop) betroffen sind, ist die Zahl der verwundbaren Apple-Geräte überschaubar. Darüber hinaus wird Stagefright aufgrund des typischerweise langsamen Rollouts von Android-Updates durch die Smartphone-Hersteller noch über Jahre hinaus Millionen Geräte betreffen. Auch im Juli 2016 laufen noch 86,7 Prozent aller Android-Geräte(öffnet im neuen Fenster) unter Version 5.1 oder älteren Versionen.
Apple-Updates verbreiten sich traditionell viel schneller. Beispiel: iOS 9 wurde am 15. September 2015 veröffentlicht. Zweieinhalb Monate später lief es bereits auf 70 Prozent aller iPhones(öffnet im neuen Fenster) .