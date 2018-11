Nutzer sollten dringend Apples jüngste Softwareaktualisierungen für iPhone, iPad und Mac einspielen, um sich vor einer gravierenden Schwachstelle in der integrierten FaceTime-Funktion zu schützen: Entfernte Angreifer sind nämlich in der Lage, allein durch einen Videoanruf Schadcode auf den Geräten einzuschleusen. Die Schwachstellen stecken in der Speicherverwaltung von Apples VoIP-Dienst, wie die für Googles Project Zero tätige Sicherheitsforscherin Natalie Silvanovich bemerkte.

Kernel Panic durch Facetime-Anruf

Durch ein präpariertes RTP-Paket lässt sich FaceTime zum Beispiel so durcheinanderbringen, dass das iPhone mit einer Kernel Panic abstürzt, wie die Hackerin in ihrem Bug-Report erklärt. Dies könne dazu führen, "dass Code willkürlich ausgeführt wird", wie Apple in den Sicherheitsdetails zu iOS 12.1 anmerkt. Silvanovich hat inzwischen Beispiel-Exploits veröffentlicht, mit denen sich ungepatchte iPhones, iPads und Macs per FaceTime-Anruf "abschießen" lassen. Bösartige Angreifer könnten die bislang harmlosen Exploits nun erweitern und zum Einschleusen von Schadcode verwenden.

Die Schwachstelle erinnert nicht durch Zufall an eine kritische Sicherheitslücke in WhatsApp, die Anfang Oktober gestopft wurde: Der ebenso von Silvanovich bemerkte Fehler in der Speicherverwaltung der populären Messaging-App erlaubte auch das Einschleusen von Schadcode mit Hilfe manipulierter RTP-Pakete.

Sicherheits-Updates von Apple für iOS und macOS

Apple hat die Speicherfehler in FaceTime sowie AppleAVD in der vergangenen Woche mit iOS 12.1 und macOS 10.14.1 Mojave beseitigt, watchOS 5 scheint nicht betroffen. Auch für macOS 10.13 High Sierra und 10.12 Sierra bietet Apple Sicherheits-Updates an, die die Schwachstellen auf älteren Macs ausräumen. Für iOS 11 oder älter liegt kein Update vor, Sicherheits-Updates für ältere iOS-Versionen sind eine absolute Seltenheit. Nutzer können sich hier wohl schützen, indem sie FaceTime auf ihrem Gerät deaktivieren. (lbe)