Sicherheitslücke

iOS-Update stopft Apples eigene Stagefright-Lücke

22.07.2016
Seit Montag steht das neue iOS-Update auf Version 9.3.3 zum Download bereit und Nutzer eines iPhone oder iPad sollten die Aktualisierung schleunigst aufspielen. Das rät das Bundesamt für Sicherheit in der Informationstechnik (BSI), das auf eine besonders schwere Sicherheitslücke in der Vorgängerversion verweist.
Entdeckt und mit iOS 9.3.3 gepatcht: iOS hatte eigenen Stagefright-Bug
Entdeckt und mit iOS 9.3.3 gepatcht: iOS hatte eigenen Stagefright-Bug
Foto: Zimperium

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft Nutzer eine iPhone oder iPad dazu auf, dringend die seit Montag bereit stehende Aktualisierung auf iOS 9.3.3 auf ihren Geräten zu installieren. Noch in der vorausgehenden Betriebssystemversion iOS 9.3.2 sowie älteren Ausgaben sei eine Reihe schwerer Sicherheitslücken enthalten, die "einem Angreifer aus dem Internet u.a. das Ausführen beliebigen Programmcodes sowie das Ausspähen von persönlichen Daten ermöglichen". Bei direktem Zugriff auf das Gerät könnte dieser durch das Ausnutzen weiterer Sicherheitslücken die Kontrolle darüber erlangen. Auch Nutzer eines Mac sollten nach Einschätzung des BSI schleunigst die neueste OS-X-Version aufspielen.

Das von Apple herausgegebene Changelog zu iOS 9.3.3 gibt dabei keine Auskunft über die Schwere der behobenen Fehler im Betriebssystem, eine ausdrückliche Empfehlung für das Update spricht das Unternehmen nicht aus. Recht unscheinbar wird in der Auflistung das vom BSI angesprochene Sicherheitsproblem aufgeführt, das Tyler Bohan von Cisco Talos ausfindig gemacht hat. Demnach sei es bei früheren Versionen von iOS möglich, Schadcode über Bilddateien auf einem Gerät einzuschleusen. Dazu sei theoretisch nicht einmal die Anzeige eines solchen manipulierten Bildes oder die direkte Interaktion des Nutzers nötig, schon durch den Empfang per iMessage oder MMS und die automatische Thumbnail-Verarbeitung des Geräts wäre das Eindringen eines Angreifers möglich.

Angesichts der Schwere dieser Sicherheitslücke und des verhältnismäßig einfachen Wegs, diese auch aktiv zum Einschleusen von Schadcode zu nutzen, werden Erinnerungen an die vor einem Jahr bekannt gewordene Stagefright-Lücke im Android-Betriebssystem wach. Tatsächlich dürften auch viele ältere iPad- und iPhone-Modelle, die kein Update mehr auf iOS 9 erhalten haben, dauerhaft für diesen Exploit anfällig bleiben. Anders als bei Android läuft die Mehrzahl der genutzten Apple-Geräte (über 86 Prozent) allerdings bereits unter der aktuellen Version des Betriebssystems und eignet sich demnach auch für die Installation des Sicherheitsflickens.

powered by AreaMobile