Apple liefert Notfall-Patch und warnt:
Lücke wird aktiv ausgenutzt
Apple hat einen kritischen Zero-Day-Fehler in seinen Betriebssystemen entdeckt, der aktiv ausgenutzt wird. Ein Sicherheitsupdate für iOS, macOS und andere Systeme wurde veröffentlicht. Nutzer sollten ihre Geräte umgehend aktualisieren.
Bei der Sicherheitslücke handelt es sich um einen sogenannten "Use-after-free"-Fehler im CoreMedia-Framework, das von Apple-Geräten zur Verarbeitung von Mediendaten verwendet wird. Durch diesen Fehler könnte es einer bösartigen Anwendung gelingen, ihre Berechtigungen auszuweiten und tiefgreifenden Zugriff auf das System zu erlangen.
Wie Bleepingcomputer berichtet, hat Apple umgehend reagiert und Sicherheitsupdates für alle betroffenen Systeme bereitgestellt. Konkret wurden iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, tvOS 18.3 und visionOS 2.3 veröffentlicht. Diese Updates beheben die Schwachstelle durch ein verbessertes Speichermanagement.
Wenn das CoreMedia-Framework diese manipulierten Daten verarbeitet, kann es zu einem Speicherzugriffsfehler kommen. Dieser Fehler ermöglicht es dem Angreifer wiederum, beliebigen Code mit erhöhten Rechten auszuführen. Im schlimmsten Fall könnte dies zur vollständigen Kompromittierung des Geräts führen.
Die Liste der betroffenen Geräte ist umfangreich und umfasst:
Obwohl Apple keine Details zu den konkreten Angriffen oder den Angreifern preisgibt, unterstreichen Sicherheitsexperten die Dringlichkeit der Updates. Auch wenn die Schwachstelle vermutlich nur für gezielte Angriffe genutzt wurde, sollten alle Nutzer ihre Geräte schnellstmöglich aktualisieren, um sich vor potenziellen Angriffsversuchen zu schützen.
Was haltet ihr von Apples Umgang mit dieser kritischen Sicherheitslücke? Fühlt ihr euch durch solche Zero-Day-Entdeckungen verunsichert oder seht ihr sie als normalen Teil der digitalen Welt? Teilt eure Gedanken und Erfahrungen in den Kommentaren!
Siehe auch:
Notfall-Patch für kritische Sicherheitslücke
Apple hat einen schwerwiegenden Fehler in seinen Betriebssystemen identifiziert und warnt Nutzer eindringlich davor. Die als CVE-2025-24085 katalogisierte Schwachstelle betrifft iPhones, Macs und weitere Apple-Geräte. Besonders brisant: Der Fehler wird bereits aktiv von Angreifern ausgenutzt.Bei der Sicherheitslücke handelt es sich um einen sogenannten "Use-after-free"-Fehler im CoreMedia-Framework, das von Apple-Geräten zur Verarbeitung von Mediendaten verwendet wird. Durch diesen Fehler könnte es einer bösartigen Anwendung gelingen, ihre Berechtigungen auszuweiten und tiefgreifenden Zugriff auf das System zu erlangen.
Wie Bleepingcomputer berichtet, hat Apple umgehend reagiert und Sicherheitsupdates für alle betroffenen Systeme bereitgestellt. Konkret wurden iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, tvOS 18.3 und visionOS 2.3 veröffentlicht. Diese Updates beheben die Schwachstelle durch ein verbessertes Speichermanagement.
Technische Details zur Schwachstelle
Der "Use-after-free"-Fehler tritt auf, wenn ein Programm versucht, auf einen Speicherbereich zuzugreifen, der bereits freigegeben wurde. Im Fall von CVE-2025-24085 liegt der Fehler, wie eingangs erwähnt, im CoreMedia-Framework, das für die Verarbeitung von Audio- und Videodaten zuständig ist. Ein Angreifer könnte den Fehler in diesem Fall ausnutzen, indem er speziell präparierte Mediendateien auf das Gerät schleust.Wenn das CoreMedia-Framework diese manipulierten Daten verarbeitet, kann es zu einem Speicherzugriffsfehler kommen. Dieser Fehler ermöglicht es dem Angreifer wiederum, beliebigen Code mit erhöhten Rechten auszuführen. Im schlimmsten Fall könnte dies zur vollständigen Kompromittierung des Geräts führen.
Zero-Day-Lücken besonders gefährlich
Zero-Day-Schwachstellen gelten als besonders gefährlich, da sie dem Hersteller zum Zeitpunkt der Entdeckung noch unbekannt sind. Angreifer haben somit einen Zeitvorteil, den sie für Exploits nutzen können, bevor ein Patch verfügbar ist. Im Fall von CVE-2025-24085 bestätigt Apple jüngst: "Apple ist sich eines Berichts bewusst, dass dieses Problem möglicherweise aktiv gegen Versionen von iOS vor iOS 17.2 ausgenutzt wurde." Zu den anderen Betriebssystemen äußert sich der Konzern nicht.Die Liste der betroffenen Geräte ist umfangreich und umfasst:
- iPhones ab dem Modell XS
- iPads ab der 3. Generation des iPad Pro
- Macs mit macOS Sequoia
- Apple Watch ab Series 6
- Apple TV HD und alle 4K-Modelle
- Apple Vision Pro
Obwohl Apple keine Details zu den konkreten Angriffen oder den Angreifern preisgibt, unterstreichen Sicherheitsexperten die Dringlichkeit der Updates. Auch wenn die Schwachstelle vermutlich nur für gezielte Angriffe genutzt wurde, sollten alle Nutzer ihre Geräte schnellstmöglich aktualisieren, um sich vor potenziellen Angriffsversuchen zu schützen.
2023 war besonders schlimm
Apple hat in den letzten Jahren zahlreiche Sicherheitslücken in seinen Produkten geschlossen. Im vergangenen Jahr wurden insgesamt sechs Zero-Day-Schwachstellen behoben, die über das Jahr verteilt entdeckt und gepatcht wurden. Das Jahr davor war besonders herausfordernd, da Apple ganze 20 Zero-Day-Lücken schließen musste, die aktiv ausgenutzt wurden.Was haltet ihr von Apples Umgang mit dieser kritischen Sicherheitslücke? Fühlt ihr euch durch solche Zero-Day-Entdeckungen verunsichert oder seht ihr sie als normalen Teil der digitalen Welt? Teilt eure Gedanken und Erfahrungen in den Kommentaren!
Was ist eine Zero-Day-Lücke?
Eine Zero-Day-Lücke ist eine Sicherheitslücke in der Software, die vom Hersteller bislang nicht entdeckt wurde und für die noch kein Patch existiert. Der Begriff "Zero-Day" bezieht sich darauf, dass der Hersteller null Tage Zeit hatte, um das Problem zu beheben.
Besonders gefährlich sind diese Schwachstellen, weil sie von Angreifern aktiv ausgenutzt werden können, bevor eine Schutzmöglichkeit verfügbar ist. Unternehmen und Nutzer sind in dieser Zeit besonders verwundbar.
Besonders gefährlich sind diese Schwachstellen, weil sie von Angreifern aktiv ausgenutzt werden können, bevor eine Schutzmöglichkeit verfügbar ist. Unternehmen und Nutzer sind in dieser Zeit besonders verwundbar.
Wie schütze ich mich?
Der beste Schutz ist eine mehrschichtige Sicherheitsstrategie. Dazu gehören aktuelle Antiviren-Programme, regelmäßige Backups und die konsequente Installation von Sicherheitsupdates, sobald diese verfügbar sind.
Zusätzlich sollten Sie verdächtige E-Mails meiden, nur vertrauenswürdige Software installieren und sensitive Daten verschlüsseln. Ein Zero-Trust-Ansatz kann das Schadensrisiko deutlich minimieren.
Zusätzlich sollten Sie verdächtige E-Mails meiden, nur vertrauenswürdige Software installieren und sensitive Daten verschlüsseln. Ein Zero-Trust-Ansatz kann das Schadensrisiko deutlich minimieren.
Wer entdeckt Zero-Day-Lücken?
Zero-Day-Lücken werden von verschiedenen Akteuren entdeckt: Sicherheitsforschern im Rahmen von Bug-Bounty-Programmen, Geheimdiensten für gezielte Überwachung oder von Cyberkriminellen für Angriffe.
Seriöse Sicherheitsforscher melden Schwachstellen direkt an die Hersteller und gewähren ihnen Zeit zur Behebung, bevor sie die Öffentlichkeit informieren. Dies wird als "Responsible Disclosure" bezeichnet.
Seriöse Sicherheitsforscher melden Schwachstellen direkt an die Hersteller und gewähren ihnen Zeit zur Behebung, bevor sie die Öffentlichkeit informieren. Dies wird als "Responsible Disclosure" bezeichnet.
Wie wertvoll sind Zero-Days?
Zero-Day-Exploits können auf dem Schwarzmarkt für mehrere hunderttausend oder sogar Millionen Euro gehandelt werden. Der genaue Preis hängt von der Zielplattform und der Zuverlässigkeit des Exploits ab.
Legale Bug-Bounty-Programme bieten dagegen oft deutlich geringere Prämien, meist im vier- bis fünfstelligen Bereich. Dies schafft teilweise problematische Anreize für Sicherheitsforscher.
Legale Bug-Bounty-Programme bieten dagegen oft deutlich geringere Prämien, meist im vier- bis fünfstelligen Bereich. Dies schafft teilweise problematische Anreize für Sicherheitsforscher.
Wie lange bleiben sie unentdeckt?
Studien zufolge bleiben Zero-Day-Lücken durchschnittlich mehrere Monate bis Jahre unentdeckt. In einigen dokumentierten Fällen wurden Schwachstellen über ein Jahrzehnt lang ausgenutzt.
Die Entdeckungszeit hängt stark von der Komplexität der Software und der Intensität der Sicherheitsforschung ab. Populäre Software wird in der Regel schneller analysiert als Nischenprodukte.
Die Entdeckungszeit hängt stark von der Komplexität der Software und der Intensität der Sicherheitsforschung ab. Populäre Software wird in der Regel schneller analysiert als Nischenprodukte.
Wer wird am häufigsten angegriffen?
Primäre Ziele sind oft Regierungseinrichtungen, Infrastrukturbetreiber und große Unternehmen, da hier der potenzielle Schaden - und damit der Profit - am größten ist.
Allerdings können auch Privatanwender Opfer von Zero-Day-Angriffen werden, besonders wenn sie Teil einer größeren Kampagne sind oder als Eintrittspunkt in ein Unternehmensnetzwerk dienen sollen.
Allerdings können auch Privatanwender Opfer von Zero-Day-Angriffen werden, besonders wenn sie Teil einer größeren Kampagne sind oder als Eintrittspunkt in ein Unternehmensnetzwerk dienen sollen.
Gibt es rechtliche Regelungen?
Der Handel mit Zero-Day-Exploits bewegt sich in einer rechtlichen Grauzone. In vielen Ländern ist der Verkauf nicht explizit reguliert, solange die Exploits nicht für kriminelle Zwecke eingesetzt werden.
Die EU plant jedoch strengere Regelungen im Rahmen der Cyber-Resilienz-Verordnung. Diese soll den Handel mit Sicherheitslücken stärker kontrollieren und "Responsible Disclosure" fördern.
Die EU plant jedoch strengere Regelungen im Rahmen der Cyber-Resilienz-Verordnung. Diese soll den Handel mit Sicherheitslücken stärker kontrollieren und "Responsible Disclosure" fördern.
Wie läuft die Behebung ab?
Nach der Entdeckung einer Zero-Day-Lücke beginnt ein Wettlauf gegen die Zeit. Die Hersteller müssen die Schwachstelle analysieren, einen Patch entwickeln und diesen gründlich testen.
Bei kritischen Schwachstellen werden oft außerplanmäßige "Out-of-Band"-Updates veröffentlicht, statt auf den regulären Update-Zyklus zu warten. Die Installation sollte dann schnellstmöglich erfolgen.
Bei kritischen Schwachstellen werden oft außerplanmäßige "Out-of-Band"-Updates veröffentlicht, statt auf den regulären Update-Zyklus zu warten. Die Installation sollte dann schnellstmöglich erfolgen.
Zusammenfassung
- Apple entdeckt kritische Zero-Day-Lücken in Betriebssystemen
- Schwachstelle CVE-2025-24085 betrifft iPhones, Macs und andere Geräte
- 'Use-after-free'-Fehler im CoreMedia-Framework ermöglicht Angriffe
- Sicherheitsupdates für iOS, macOS und andere Systeme veröffentlicht
- Angreifer könnten erhöhte Rechte erlangen und Geräte kompromittieren
- Alle Apple-Nutzer sollten ihre Geräte umgehend aktualisieren
- Im Vorjahr musste Apple sechs Zero-Day-Schwachstellen beheben
Siehe auch:
- Apple-Geräte werden per Zero-Day angegriffen - Patches sind da!
- Zero Day-Alarm: Apple veröffentlicht Notfall-Patches für iOS und MacOS
- Updates anwerfen! - Apple schließt Zero-Day-Lücke in iOS und Co.
- Zero-Day-Schwachstelle im "Mit Apple Anmelden"-Service behoben
- Kein Patch: Neue Zero Days ermöglichen Root-Zugang zu Apples OS X
Thema:
Apples Aktienkurs in Euro
Videos von und über Apple
-
iPadOS 27: Erste Blicke auf Apples neues Tablet-Betriebssystem
-
Silo: Apple zeigt den offiziellen Trailer zu Staffel 3 der Sci-Fi-Serie
-
Tipps zum Tablet: Nützliches Zubehör für iPad 10 und iPad 11 im Test
-
Getestet: Wie stark unterscheiden sich MacBook Neo und MacBook Pro?
-
Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
Neue Downloads zum Thema Apple
Beiträge aus dem Forum
-
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
AppleTV
MiezMau -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
iPhone 13 + Smartwatch (keine Apple Watch)
Bilaltore -
Win-Viren am Mac prüfen?
mondayand0 -
IPhone Ortung verhindern.
PC.Nutzer -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
Windows Computer vergleichbar Apple M1 Mini
Lewio82
Weiterführende Links
iPhone 17 Pro im Preisvergleich
Amazon.de 
Joybuy 
Netto Marken-Discount 
Afbshop 
Galaxus Neue Nachrichten
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
- James-Webb-Teleskop entdeckt Metallsalz-Wolken auf pinkem Exoplanet
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon