Apple hat mit OS X 10.11.4 schwere iMessage-Sicherheitslücke geschlossen

[Mitglied 128076]

Am 21. März veröffentlichte Apple die OS X-Version 10.11.4 für den Mac. Mit dem Security-Update 2016-002 wurden einige Probleme behoben, unter anderem eine schwere Sicherheitslücke in der Nachrichten-App, mit der die gesamte iMessage-History des angegriffenen Rechners im klartext ausgelesen werden konnte.

Die Sicherheits-Forscher Shubham Shah und Joe DeMesy haben im Blog der Security-Firma Bishop Fox zusammen mit Matt Bryan vom Uber Security-Team auf diese Schwachstelle hingewiesen. Da das WebKit-basierte Programm beliebige URIs (Uniform Recource Identifier) in anklickbare Links verwandelt, konnte per JavaScript-Link das OS x-Exploit CVE-2016-1764 ausgenutzt werden, sobald dieser angeklickt wurde. Nach dem Anklicken begann der Mac mit dem Hochladen der gesamten iMessage-Nachrichten-Datenbank inklusive aller Bilder und Dateianhänge. Eine Verschlüsselung fand bei diesem Upload-Prozess nicht statt, so dass die Daten vom Angreifer im Klartext eingesehen werden konnten.

Apple hat diese Schwachstelle mit dem OS X-Update auf die Version 10.11.4 geschlossen. Es wird daher dringend empfohlen, ein Update auf die aktuellste Version von El Capitan durchzuführen.

Im folgenden Video werden beim Vorführen der Schwachstelle beide Seiten, nämlich die des Angreifers und die des Opfers, dargestellt.


via Heise.de

Danke an echo.park und m4d-maNu für den Hinweis.

zurück zum Magazin...

 

[Farafan]

Autsch, das ist ein ein dicker Klops.
Ist bekannt ob das Problem nur in 10.11.x bestand?

 

[thymian]

Hi, ok, aber was ist mit Yosemite und Mavericks? Die Info für das Sicherheits-Update 2016-002 weist nur einen Fix für El Capitan auf...nicht für Yosemite und Mavericks... Und "leider" gibt es immer noch viele Gründe in Produktivumgebungen zumindest Yosemite einzusetzen statt El Capitan... Also...müssen wir nun deswegen alle auf El Capitan umsteigen...na dann viel Spass an alle Admins...

 

[Schupunkt]

...bin ich froh das iMessage so sicher ist...

 

[Mitglied 128076]

Naja. Klickst Du unbekannte Links an? Dann ist der Mac auch nicht "sicher"

 

[djtwok]

Ich kann leider nicht updaten solange meine Audio Interfaces mit 10.11.4 nicht vernünftig funktionieren.

 

[saw]

Klickst Du unbekannte Links an?

Auf dem mac ganz sicher.
Wie soll ich beim surfen jeden Link vorher prüfen?
Dann würde ich ja nie auf neue, unbekannte Seiten kommen oO

Streng genommen, dürfte ich dann in Google News ja nicht einmal eine unbekannte, ausländische Zeitung anklicken

 

[markthenerd]

Streng genommen, dürfte ich dann in Google News ja nicht einmal eine unbekannte, ausländische Zeitung anklicken.

Das halte ich für eine gewagte Behauptung.

Was mich anbelangt bin ohnehin zu etwa 95% unter Ubuntu im Netz unterwegs, also auch hier. Da mache ich mir noch weniger Sorgen.

 

[Schupunkt]

Naja. Klickst Du unbekannte Links an? Dann ist der Mac auch nicht "sicher"

Ich wurde bei iMessage noch nie von fremden angeschrieben, wenn mir Bekannte einen Link schicken, würde ich den vermutlich anklicken.

 

[Schillerphone]

Nutze iMessage nicht am Mac. Von daher kann ich mir 100% sicher sein, dass dieser Bug keine negativen Konsequenzen für mich hat. Aber das Update mache ich trotzdem mal. Habe ich bisher ganz übersehen.

 

[echo.park]

Solche "Knaller" werden immer wieder auftauchen. Das ist quasi ein Naturgesetz. Wichtig ist nur dass sie zügig gefixt werden.

 

[KALLT]

Ich wurde bei iMessage noch nie von fremden angeschrieben, wenn mir Bekannte einen Link schicken, würde ich den vermutlich anklicken.

Außerdem ist nicht nur iMessage betroffen, sondern auch SMS/MMS die an Messages übertragen werden. Ich erhalte recht häufig SMS von meinem Provider oder Anbietern zur Zweifaktorbestätigung. Wie oft kommt es denn auch vor, dass ein einfacher Link in einer vertrauten App so etwas bewirken könnte. Ich habe auch keine Hintergedanken um auf Links zu klicken.