Apple hat einen potenziell problematischen Fehler in seiner populären Audioanwendung geschlossen. Angreifer hätten wohl Code ausführen können.

Von Sicherheitsproblemen in Musikprogrammen hört man eher selten – doch bei Apple sind sie nun gleich zweimal hintereinander aufgetreten. Wie das Unternehmen auf seiner Security-Website am Montagabend mitteilte, wurde in der ebenfalls gestern erschienenen neuen Version 10.1.16 der Amateur-Musiker-App GarageBand für macOS eine potenziell schwerwiegende Lücke gestopft.

Doppelklick führt Schadcode aus

Der Fehler, den Tyler Bohan von Sicherheitslabor Cisco Talos entdeckt hat, erlaubt es, mit einer manipulierten GarageBand-Projektdatei potenziell beliebigen Code auszuführen. Es reicht dazu aus, ein solches Dokument per Doppelklick in GarageBand zu starten, eine weitere Nachfrage erfolgt offenbar nicht.

Der Exploit gelang über einen Speicherfehler, der laut Apples Angaben nun behoben wurde ("Improved Memory Handling"). Ob der Fehler bereits durch Malware ausgenutzt wurde, ist unklar – entsprechende öffentlich gewordene Meldungen gab es aber nicht.

Erstes Update bereits vor einem Monat

Interessanterweise enthielt schon GarageBand 10.1.14 und früher einen ähnlichen Bug, den ebenfalls Bohan aufgespürt hatte. Dieser war mit dem Update 10.1.15 vom 18. Januar eigentlich behoben worden. Offenbar war dies aber nicht der einzige – oder das Problem wurde mit der Aktualisierung nicht vollständig gefixt. Entsprechend sah sich Apple veranlasst, einen Monat später ein weiteres Update nachzulegen.

GarageBand für den Mac ist ein komplettes Musikpaket für Einsteiger und ambitionierte Amateure, das unterhalb des Profi-Pakets Logic Pro X platziert ist, von diesem aber einige Funktion geerbt hat. Die App wird neuen Mac-Käufern kostenlos zur Verfügung gestellt, Neukäufer zahlen 5 Euro. Zwischenzeitlich verkaufte Apple auch noch zusätzliche Instrumente als In-App-Verkauf, dieses Paket kann man aber mittlerweile gratis nachladen. (bsc)