Apple warnt vor einer potenziell schwerwiegenden Lücke in seiner Digital Audio Workstation GarageBand. Die für macOS, iOS und iPadOS kostenlose Musikanwendung weist in der Mac-Variante einen Bug auf, der von Angreifern zum Ausführen beliebigen Codes auf dem Rechner verwendet werden könnte. Ob es bereits entsprechende Angriffe gab, ist allerdings nicht bekannt.
Anzeige
Die Lücke ist offenbar schon seit längerem in GarageBand enthalten, betroffen ist zumindest nicht nur die aktuelle macOS-Version Sequoia (10.5), sondern bereits die Vorversion Sonoma (14). Das aktuelle GarageBand für den Mac läuft offiziell ab Betriebssystemversion 14.4. Laut Apple führt ein Problem mit den sogenannten Bounds Checks dafür, dass ein böswillig verändertes Bild dazu verwendet werden kann, unerwünschte Programme auszuführen. Mit welchen Rechten dies erfolgt, teilt das Unternehmen nicht mit.
Die CVE-ID des Fehlers lautet 2024-44142, er wurde von Marc Schoenefeld entdeckt, der einst an der Uni Bamberg gearbeitet hatte. Wie genau ein mögliches Angriffsszenario ausgesehen hätte, blieb zunächst unklar. Es gibt jedoch an mehreren Stellen die Möglichkeit, Bilder in GarageBand einzubringen, etwa als Cover-Aufnahme für ein Musikprojekt. Der Schweregrad der Lücke wurde auf "Medium" nach CVSS v2 (Basisscore: 6,8) beziehungsweise "Hoch" nach CVSS v3 (Basisscore: 7,8) festgelegt.
Wer GarageBand auf seinem Mac betreibt, sollte das Update möglichst zeitnah einspielen. Die aktuelle Version, die die Fehlerbehebung enthält, trägt die Versionsnummer 10.4.12. Apple vertreibt GarageBand über den Mac App Store, in dem man auf Wunsch auch automatische Updates aktivieren kann. Nutzer sollten über das Apfel-Menü prüfen, ob sie bereits die aktuelle Version des DAW auf dem Rechner haben.
GarageBand 10.4.12 enthält sonst noch weitere "Stabilitäts- und Fehlerbehebungen", die Apple allerdings leider nicht näher ausführt. Auch gibt es im Beipackzettel keinen Hinweis auf sicherheitskritische Fixes, was unschön ist, da es die Update-Bereitschaft nicht beschleunigt. Immerhin führt Apple die Informationen zu der Problematik mittlerweile auf seiner offiziellen Security-Updates-Website auf.
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen. Preisvergleiche immer laden
Kommentare