Apple hatte jetzt seine eigene Stagefright-Lücke in iOS

Stagefright, Android Bug, Android-Lücke Bildquelle: Zimperium
Der Suchmaschinenkonzern Google hatte vor einiger Zeit ordentlich mit einer Android-Sicherheitslücke zu kämpfen, die als "Stagefright" bekannt wurde. Apple hatte jetzt ein ähnliches Problem - und konnte den Bug mit dem neuesten Update für iOS beseitigen.
Der Fehler steckte in beiden Fällen in Systembibliotheken, die für die Verarbeitung von Multimedia-Inhalten zuständig sind. Über die Bugs war es Angreifern möglich, fremden Code in die Systeme einzuschleusen und zur Ausführung zu bringen, in dem dieser in eine Mediendatei eingebettet wurde.

Was diese konkreten Bugs dabei so gefährlich machte, war die Tatsache, dass der Nutzer kaum eine Möglichkeit hatte, sich vor dem Schadcode zu schützen. Bei Malware, die in E-Mails daherkommt, genügt es meist, den Anhang zu ignorieren. Im Falle der genannten Fehler konnte der Schaden schlicht dadurch entstehen, dass ein Bild angezeigt wurde - was der Browser, diverse Messenger und viele weitere Anwendungen automatisch tun.


Vielfalt von Angriffen möglich

In iOS lag der Bug in der "Apple Image I/O API" verborgen und kam zum Tragen, wenn eine Bilddatei im TIFF-Format gerendert werden sollte. Der Codec ist in der Praxis zwar nur bei wenigen Nutzern im Einsatz, doch die diversen iOS-Apps sind durchaus in der Lage, auch entsprechende Dateien ebenso zu verarbeiten wie die üblichen JPEG-Bilder. Entdeckt und gemeldet wurde der Bug von Sicherheitsexperten beim Netzwerkausrüster Cisco, die nun genaueres über den Fehler veröffentlichten.

Die Schwachstelle lag bereits dort, wo die Meta-Daten der Bilddatei verarbeitet wurden. Diese sind im BMP-Header abgelegt. Um den Schadcode ins System einzuschleusen, mussten hier Manipulationen am Datenfeld für die Größe der Bilddatei vorgenommen werden.

Durch die Art, wie die Sicherheitskücke zum Tragen kam, konnte sie als Grundlage für verschiedene Angriffs-Varianten dienen. Die Verbreitung manipulierter Bilder über eine häufig besuchte Webseite konnte beispielsweise eine breite Zahl von Opfern generieren. Per Messenger ließen sich hingegen sehr gezielt bestimmte Anwender attackieren. In der neuesten iOS-Version iOS 9.3.3 ist der Bug behoben, weshalb Nutzern von Apple-Mobilgeräten dringend zum Update geraten wird. Stagefright, Android Bug, Android-Lücke Stagefright, Android Bug, Android-Lücke Zimperium
Mehr zum Thema: Apple iOS
Diese Nachricht empfehlen
Kommentieren25
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 13:45 Uhr Thermaltake Core P5 Wand-Gehäuse
Thermaltake Core P5 Wand-Gehäuse
Original Amazon-Preis
137,88
Im Preisvergleich ab
128,34
Blitzangebot-Preis
99,92
Ersparnis zu Amazon 28% oder 37,96

iPhone 7 im Preisvergleich

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden