Apple hat mit OS X 10.11.4 schwere iMessage-Sicherheitslücke geschlossen

Am 21. März veröffentlichte Apple die OS X-Version 10.11.4 für den Mac. Mit dem Security-Update 2016-002 wurden einige Probleme behoben, unter anderem eine schwere Sicherheitslücke in der Nachrichten-App, mit der die gesamte iMessage-History des angegriffenen Rechners im klartext ausgelesen werden konnte.

Die Sicherheits-Forscher Shubham Shah und Joe DeMesy haben im Blog der Security-Firma Bishop Fox zusammen mit Matt Bryan vom Uber Security-Team auf diese Schwachstelle hingewiesen. Da das WebKit-basierte Programm beliebige URIs (Uniform Recource Identifier) in anklickbare Links verwandelt, konnte per JavaScript-Link das OS x-Exploit CVE-2016-1764 ausgenutzt werden, sobald dieser angeklickt wurde. Nach dem Anklicken begann der Mac mit dem Hochladen der gesamten iMessage-Nachrichten-Datenbank inklusive aller Bilder und Dateianhänge. Eine Verschlüsselung fand bei diesem Upload-Prozess nicht statt, so dass die Daten vom Angreifer im Klartext eingesehen werden konnten.

Apple hat diese Schwachstelle mit dem OS X-Update auf die Version 10.11.4 geschlossen. Es wird daher dringend empfohlen, ein Update auf die aktuellste Version von El Capitan durchzuführen.

Im folgenden Video werden beim Vorführen der Schwachstelle beide Seiten, nämlich die des Angreifers und die des Opfers, dargestellt.

via Heise.de

Danke an echo.park und m4d-maNu für den Hinweis.