Apple schließt kritische Lücke in iOS, iPadOS und macOS

Apple hat neue Sicherheitsupdates für macOS 14.4 Sonoma und 13.6 Ventura veröffentlicht. Sie folgen auf die schon in der vergangenen Wochen bereitgestellten Patches für iOS und iPadOS 17.4 und 16.7, zu denen das Unternehmen bisher aber jegliche Details zurückhielt. Den jetzt freigegeben Versionshinweisen zufolge wird eine kritische geschlossen, die eine Remotecodeausführung erlaubt – und auch Software anderer Hersteller betrifft.

Die Sicherheitswarnungen von Apple erwähnen Löcher in den Komponenten CoreMedia und WebRTC. Beide basieren jedoch auf derselben Schwachstelle mit der Kennung CVE-2024-1580, die von Nick Galloway vom Google Project Zero entdeckt wurde. Die Verarbeitung von speziell gestalteten Bildern durch CoreMedia und WebRTC kann einen Out-of-bounds-Speicherfehler auslösen. Eine verbesserte Prüfung von Eingaben soll Apple zufolge das Problem beheben.

Weitere Details nennt der Eintrag für CVE-2024-1580 in der US-National Vulnerability Database. Demnach steckt der eigentlich Bug, ein Integer-Überlauf, im AV1-Decoder „dav1d“ des Videolan-Projekts. „Ein Integer-Überlauf kann beim Dekodieren von Videos mit großen Frame-Größen auftreten“, heißt es dort. „Das kann zu einem Speicherfehler innerhalb des AV1-Dekoders führen.“ Angreifbar ist dav1d vor Version 1.4.0.

Nutzer der Apple-Betriebssysteme sollten nun möglichst zeitnah auf die fehlerbereinigten Versionen iOS und iPadOS 17.4.1 oder 16.7.7 sowie macOS 14.4.1 oder 13.6.6 umsteigen. Dieselben Schwachstellen beseitigt Apple mit visionOS 1.1.1 auch in seiner VR-Brille Vision Pro, die hierzulande noch nicht erhältlich ist.