Vor rund einem Jahr tauchte eine Reihe von kritischen Lücken in Androids Medien-Framework Stagefright auf, die in der Google-Welt bis dato für Aufregung sorgen. Immerhin führt die zentrale Rolle von Stagefright dazu, dass sich entsprechende Angriffe auf einer Vielzahl unterschiedlicher Wege vornehmen lassen, vom einfachen Schicken einer SMS bis zum Einbetten einer Grafik in einer Webseite.

Core Graphics

Wie sich nun zeigt, scheint Apple in der eigenen Software ein Fehler ähnlicher Tragweite passiert zu sein. Mit den aktuellsten Updates für OS X (10.11.6), iOS (9.3.3), tvOS (9.2.2) und watchOS (2.2.2) wurde ein Fehler in der Grafikbibliothek Core Graphics geschlossen, der schnell Erinnerung an Stagefright wach werden lässt. Sind hierdurch doch ebenfalls zahlreiche Anwendungen gefährdet, und für einen Angriff reicht es, eine Bilddatei zu manipulieren und dann etwa via MMS an eine Zielperson zu schicken. Da Core Graphics automatisch Thumbnails erstellt, reicht das bloße Zusenden eines solchen Bilds für die Attacke, die Nutzer müssen die Nachricht also gar nicht erst öffnen.

Entdeckt wurde das Problem von einem Cisco-Mitarbeiter, der in einem Blogeintrag auf die Details eingeht. Demnach hat Apple gleich bei der Implementation mehrerer Bildformate gepatzt, neben TIFFs lassen sich auch Bilder im BMP, OpenEXR und im Digital Asset Exchange File Format entsprechend manipulieren.

Einschränkungen

Unklar ist derzeit allerdings noch, wie einfach das Problem wirklich auszunutzen ist. Zwar hat der Entdecker des Problems eine Attacke mittels eines in eine Webseite eingebetteten Bilds mit Safari unter OS X erfolgreich getestet, für einen Einbruch mittels MMS liefert er hingegen noch keinen funktionstüchtigen Exploit. Dies war freilich auch bei Stagefright anfänglich der Fall, die Attacke war zunächst eher theoretischer Natur bis Sicherheitsforscher immer bessere Exploits entwickelten.

Der wirklich entscheidende Unterschied ist an anderer Stelle zu suchen, und zwar bei der Update-Politik. Während viele Android-Geräte bis heute keine Updates für die Stagefright-Lücken erhalten haben, hat Apple sein Softwareökosystem wesentlich besser im Griff und so für praktisch alle aktiv genutzten Geräte mit iOS oder OS X ein Update parat. Den Nutzern sei angesichts der Schwere des Problems jedenfalls angeraten, zügig das aktuellste Update einzuspielen. (apo, 25.7.2016)