Zwar werden bereits in wenigen Wochen Apples große Upgrades auf iOS 26 und macOS 26 (Tahoe) erwartet, dennoch hat der Konzern nun noch einmal Aktualisierungen für die Vorversionen iOS 18, iPadOS 18 und macOS 15 (Sequoia) vorgelegt. Grund sind Sicherheitslücken in den Systemen, die laut Hersteller bereits aktiv ausgenutzt werden. Betroffen sind auch ältere iOS-Versionen, die Apple aber wie üblich nur teilweise patcht. Sonstige Neuerungen enthalten die Aktualisierungen nach Angaben des Unternehmens nicht.

Komplexer Angriff auf bestimmte Zielpersonen

Apple erwähnt in seinen Beipackzetteln für sicherheitsrelevante Veränderungen jeweils nur eine einzige Lücke: Einen Bug in der Bildverarbeitungsbibliothek Image I/O. Dazu heißt es, dass die Verarbeitung böswillig manipulierter Bilder zu einem Speicherfehler führen kann. „Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise in einem äußerst komplexen Angriff auf gezielt ausgewählte Personen ausgenutzt wurde.“ Das heißt in der Praxis, dass es sich wohl um staatliche Akteure handelte – oder Firmen, die diese unterstützten.

Wer von dem Angriff betroffen war, teilte Apple nicht mit. Der Konzern nennt sich selbst als Entdecker der Lücke, die die CVE-ID CVE-2025-43300 trägt. Der Fehler wurde behoben, indem ein Out-of-Bounds-Schreibproblem behoben wurde – durch verbessertes Bounds-Checking. Der Bug könnte Teil einer ganzen Exploit-Kette sein, bei der Image I/O wahrscheinlich als Einfallstor verwendet wird – beispielsweise über den Versand eines manipulierten Bildes via iMessage. Technische Details fehlen jedoch noch – ob Apple diese zu einem späteren Zeitpunkt kommuniziert, bleibt offen.

Welche Versionen man schnell installieren sollte

Der ausnutzbare Fehler steckt interessanterweise offenbar nur in macOS, iPadOS und iOS – zumindest hat Apple bislang keine Aktualisierungen für seine anderen Betriebssysteme watchOS, visionOS und tvOS vorgelegt, obwohl auch diese die Image-I/O-Bibliothek enthalten. tvOS hat keine eigene Nachrichten-App, visionOS und watchOS hingegen schon. Die jeweils aktuellen Version sind nun iOS 18.6.2 und iPadOS 18.6.2 sowie macOS 15.6.1. Auf einem Test-Mac war die Aktualisierung mit 1,5 GByte ziemlich mächtig, könnte also auch noch andere Neuerungen enthalten. Warum Apple für einen ausgenutzten Fehler sein dafür geeignetes Rapid-Security-Response-System nicht nutzt, bleibt unklar.

Nutzer älterer macOS- und iPadOS-Versionen erhalten ebenfalls Updates, iOS-17-Nutzer müssen auf iOS 18 aktualisieren. Aktuell sind nun iPadOS 17.7.10, macOS 13.7.8 Ventura und macOS 14.7.8 Sonoma. Einzige von Apple kommunizierte Änderung ist die Behebung des Image-I/O-Bugs.

(bsc)

In der Container-Software Docker Desktop können Angreifer aus bösartigen Containern auf die Docker-Engine und in der Folge auf das Dateisystem des Host-Systems zugreifen. Aktualisierte Software steht bereit, um die Sicherheitslücke zu schließen.

In der Versionsankündigung fasst Docker knapp zusammen: Bösartige Container, die in Docker Desktop laufen, können auf die Docker-Engine zugreifen und weitere Container starten, ohne, dass der Docker-Socket gemountet sein müsste. Dies kann unautorisierten Zugriff auf Nutzerdateien im Host-System ermöglichen, Enhanced Container Isolation (ECI) richtet nichts gegen diese Schwachstelle aus (CVE-2025-9074 / EUVD-2025-25308, CVSS 9.3, Risiko „kritisch„).

Die Schwachstellenmeldung selbst geht weiter ins Detail. Lokal laufende Linux-Container können die Docker-Engine-API über das konfigurierte Subnetz erreichen, standardmäßig unter 192.168.65.7:2375. Die Schwachstelle tritt unabhängig davon auf, ob Enhanced Container Isolation (ECI) aktiviert oder wie die Option „Expose daemon on tcp://localhost:2375 without TLS“ konfiguriert wurde. Dadurch lassen sich eine Reihe an privilegierten Befehlen an die Docker-Engine-API ausführen, einschließlich der Kontrolle anderer Container, Erstellen neuer Container, Verwalten von Images und so weiter. Unter Umständen, etwa wenn Docker Desktop für Windows mit WSL-Backend läuft, erlaubt das auch das Mounten des Hostlaufwerks mit den Rechten des Nutzerkontos, in dem Docker Desktop läuft.

Sicherheitslücke mit Update geschlossen

Um das zu verhindern, sollten IT-Verantwortliche auf Docker Desktop 4.44.3 oder neuer aktualisieren. Darin haben die Entwickler die sicherheitsrelevanten Fehler ausgebügelt.

Die aktualisierten Docker-Pakete stehen direkt zum Herunterladen bereit:

Ende April hatte Docker ein Update für Docker Desktop für Windows herausgegeben. Darin haben die Programmierer eine als hochriskant eingestufte Schwachstelle geschlossen, durch die Angreifer ihre Rechte ausweiten konnten.

(dmk)

Neue Tricksereien mit QR-Codes melden Sicherheitsforscher von Barracuda. Die Angriffe kommen per E-Mail und umgehen viele der in großen Unternehmen üblichen Sicherheitsscans. Liest der Endnutzer seine E-Mails dann auch noch mit aktivierter HTML-Darstellung, wird er leicht zum Opfer.

QR-Codes (quick response codes) sind bei Verbrechern beliebt, weil sich darin Hyperlinks kodieren lassen, die Menschen nicht lesen können. Damit lassen sich leichter falsche Hyperlinks unterjubeln. Unter einem Vorwand werden die Zielpersonen dazu gebracht, den Code einzuscannen; flugs landen sie auf einer vom Angreifer kontrollierten Webseite. Diese Methode wird so häufig für das Ernten fremder Zugangsdaten genutzt (Phishing), dass es für Phishing mit QR-Code einen eigenen Begriff gibt: Quishing.

Separate Dateien ergeben zusammen ein Bild

Eine verblüffend einfache Methode besteht darin, einen irreführenden QR-Code in zwei (oder mehr) Teile zu teilen. Diese Bilddateien werden beispielsweise einem Phishing-Email angehängt. Sicherheitssysteme versuchen in der Regel, die Bilddateien einzeln auszuwerten, finden in den einzelnen QR-Schnipseln aber nichts Verwertbares und lassen die gefährliche Nachricht passieren.

Mittels HTML können die Bilder allerdings am Endgerät des Nutzers so angeordnet werden, dass sie optisch wie ein einzelnes Bild wirken – sowohl für das menschliche Auge als auch die Kamera eines Smartphones. Scannt die Zielperson den virtuell zusammengesetzten QR-Code ein, wird sie auf eine betrügerische Webseite umgeleitet, wo beispielsweise Malware oder eine Phishing-Falle warten.

Verschachtelung

Schon länger bekannt ist die Idee, zwei QR-Codes in einander zu verschachteln. Welcher der beiden Codes dann von einem Smartphone ausgewertet wird, hängt insbesondere von der Entfernung zwischen Code und Kamera ab. Ein automatisiertes Sicherheitssystem wird allerdings versuchen, das gesamte Ding auszuwerten.

Barracuda hat Angriffe mit solchen verschachtelten QR-Codes beobachtet. Ein enthaltener Hyperlink ist völlig harmlos und zeigt beispielsweise auf eine Suchmaschine, während der andere Link in die Falle führt. Die Angreifer setzen darauf, dass die verschachtelten Codes die Sicherheitsscanner in die Irre führen. Die aufgeteilten QR-Codes sind ein Trick des Phishing as a Service Toolkits Gabagool; die verschachtelten QR-Codes eine Methode, die das Konkurrenzprodukt Tycoon 2FA beherrscht.

ASCII-Code QR

Bereits im Oktober hat Barracuda über gefinkelte QR-Codes berichtet, die gar nicht als Bilddatei daherkommen, sondern aus ASCII-Codes zusammengesetzt sind. Der ASCII-Code kennt neben Buchstaben und Satzzeichen noch allerlei andere Zeichen, darunter 32 unterschiedliche „Blöcke“, beispielsweise █.

Diese werden in einer Matrix aneinandergereiht. Verbunden mit einem Cascading Style Sheet (CSS), das die Farbe einzelner ASCII-Zeichen ändert und beispielsweise auf Weiß stellt, lassen sich Textgebilde erstellen, die von Smartphones als QR-Code erkannt werden, aber am Sicherheitsscanner unerkannt vorbeigekommen sind. Alternativ lassen sich die weißen Stellen aus geschützten Leerzeichen aus dem ASCII-Repertoire zusammenstellen.

Argwohn angezeigt

Außerhalb geschlossener Systeme sind QR-Codes grundsätzlich verdächtig. Wir empfehlen Argwohn gegenüber QR-Codes sowie grundsätzlich, E-Mails nur als Plain-Text darzustellen. Das sieht zwar nicht so hübsch aus, erschwert aber eine ganze Reihe unterschiedlicher Überwachungs- und Angriffsmethoden, nicht nur QR-Code-Tricks.

Angreifer profitieren mit QR-Codes von einem speziellen Vorteil: Sie lassen sich in der Regel nicht mit demselben Endgerät auswerten, auf dem sie angezeigt werden. Wer meint, einen auf seinem Computerbildschirm angezeigten QR-Code auswerten zu müssen, greift in aller Regel zum Smartphone (was aber nicht unbedingt erforderlich wäre). Und während Arbeitgeber versuchen, mittels Sicherheitssystemen den Aufruf verdächtiger URLs von Arbeitsplatzcomputern hintanzuhalten, ist das zum QR-Scan genutzte Smartphone nicht selten privat und agiert an den Sicherheitssystemen vorbei.

So erreichen Phisher ungemütlich hohe Erfolsquoten. In der Praxis hat sich Anti-Phishing-Training leider als weitgehend nutzlos erwiesen.

(ds)