Google-Sicherheitsforscher: Apples zentrales Bild-Framework schlecht abgesichert

Fehler in dem Framework k?nnen Angriffe auf iPhones aus der Ferne m?glich machen, warnen die Forscher. Apple müsse besser auf Schwachstellen testen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 13 Beitr?ge

(Bild: Shutterstock.com / weedezign)

Von

Googles "Project Zero"-Team ist bei automatisierten Software-Tests (Fuzzing) gleich auf mehrere Sicherheitslücken in Apples wichtigem Bild-Framework ImageIO gesto?en, die das Ausführen von Schadcode erm?glichen k?nnen. Da g?ngige Messaging-Apps das Framework zur Anzeige von Bildvorschauen in Benachrichtigungen nutzen, k?nne sich auf diesem Wege b?sartiger Code aus der Ferne einschleusen und unmittelbar ausführen lassen, erl?utern die Sicherheitsforscher, eine Nutzerinteraktion sei nicht erforderlich.

Die Schwachstellen betreffen alle Apple-Betriebsysteme, wurden dem Hersteller gemeldet und mit Updates in iOS, iPadOS, macOS, tvOS und watchOS bereits geschlossen, wie Google anmerkt. Eine Reihe der aufgeführten Lücken r?umt beispielsweise das Ende Januar ver?ffentlichte iOS / iPadOS 13.3.1 aus. Die Darstellung einer manipulierte Bilddatei k?nne "zur Ausführung willkürlichen Codes" genutzt werden, warnte Apple in einem nachtr?glich erg?nzten Sicherheitshinweis. Es habe sich um Bugs gehandelt, durch die "Daten au?erhalb des zugewiesenen Bereichs gelesen werden konnten", teilte Apple mit, man habe dies durch eine verbesserte Eingabeüberprüfung behoben.

Es liege in der Hand des Betriebssystemherstellers – in diesem Fall Apple – solche Bugs und potentiellen Schwachstellen durch umfangreiches Fuzzing selbst aufzuspüren und umgehend zu schlie?en, hei?t es in einem detaillierten Posting von Project Zero. Das liege nicht in der Verantwortung der Hersteller der Messenger, da dieser Code nicht zu ihrer Codebasis geh?re. Zudem sollte bei solchen Multimedia-Frameworks generell die Angriffsfl?che verkleinert werden: ImageIO unterstütze derzeit noch sehr viele Bildformate, darunter auch obskure. Auch Entwickler von Messengern sollten die Zahl der akzeptierten Bildformate soweit wie m?glich verringern.

Google hat den für die Analyse von ImageIO verwendeten Fuzzer ver?ffentlicht. Man habe diesen mehrere Wochen mit einer kleinen Datenbank aus rund 700 Bildern in verschiedenen Formaten laufen lassen und sei dabei auf die Schwachstellen gesto?en, so die Sicherheitsforscher. Auch von ImageIO eingebundene Dritt-Libraries wie OpenEXR h?tten sich als angreifbar erwiesen. Es sei wahrscheinlich, dass in dem Framework weitere Bugs bestehen "oder in Zukunft eingeführt werden".

Lesen Sie auch

(lbe)

汤姆叔叔影院