Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

GarageBand: Böser Fehler kann zu Code-Ausführung führen

Apple warnt vor einer potenziell schwerwiegenden Lücke in seiner Digital Audio Workstation GarageBand. Die für macOS, iOS und iPadOS kostenlose Musikanwendung weist in der Mac-Variante einen Bug auf, der von Angreifern zum Ausführen beliebigen Codes auf dem Rechner verwendet werden könnte. Ob es bereits entsprechende Angriffe gab, ist allerdings nicht bekannt.

Anzeige

Die Lücke ist offenbar schon seit längerem in GarageBand enthalten, betroffen ist zumindest nicht nur die aktuelle macOS-Version Sequoia (10.5), sondern bereits die Vorversion Sonoma (14). Das aktuelle GarageBand für den Mac läuft offiziell ab Betriebssystemversion 14.4. Laut Apple führt ein Problem mit den sogenannten Bounds Checks dafür, dass ein böswillig verändertes Bild dazu verwendet werden kann, unerwünschte Programme auszuführen. Mit welchen Rechten dies erfolgt, teilt das Unternehmen nicht mit.

Die CVE-ID des Fehlers lautet 2024-44142, er wurde von Marc Schoenefeld entdeckt, der einst an der Uni Bamberg gearbeitet hatte. Wie genau ein mögliches Angriffsszenario ausgesehen hätte, blieb zunächst unklar. Es gibt jedoch an mehreren Stellen die Möglichkeit, Bilder in GarageBand einzubringen, etwa als Cover-Aufnahme für ein Musikprojekt. Der Schweregrad der Lücke wurde auf "Medium" nach CVSS v2 (Basisscore: 6,8) beziehungsweise "Hoch" nach CVSS v3 (Basisscore: 7,8) festgelegt.

Wer GarageBand auf seinem Mac betreibt, sollte das Update möglichst zeitnah einspielen. Die aktuelle Version, die die Fehlerbehebung enthält, trägt die Versionsnummer 10.4.12. Apple vertreibt GarageBand über den Mac App Store, in dem man auf Wunsch auch automatische Updates aktivieren kann. Nutzer sollten über das Apfel-Menü prüfen, ob sie bereits die aktuelle Version des DAW auf dem Rechner haben.

GarageBand 10.4.12 enthält sonst noch weitere "Stabilitäts- und Fehlerbehebungen", die Apple allerdings leider nicht näher ausführt. Auch gibt es im Beipackzettel keinen Hinweis auf sicherheitskritische Fixes, was unschön ist, da es die Update-Bereitschaft nicht beschleunigt. Immerhin führt Apple die Informationen zu der Problematik mittlerweile auf seiner offiziellen Security-Updates-Website auf.

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen. Preisvergleiche immer laden

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Ben Schwan)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Sicherheitsupdates: Zahlreiche Lücken gefährden Ba...
Medizinischer Überwachungsmonitor: Hintertür in Co...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Sonntag, 09. Februar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image