Home » Apple » Kritische Lücke in iWork in der iCloud: Apple zahlt Belohnung aus

Kritische Lücke in iWork in der iCloud: Apple zahlt Belohnung aus

iCloud - Apple

Apple hat einen kritischen Fehler auf seiner iCloud-Website aus der Welt geschafft. Das Unternehmen war von einem Sicherheitsforscher auf diese Lücke aufmerksam gemacht worden und zeigte sich erkenntlich. Die Schwachstelle hatte das Potenzial, sich über manipulierte iWork-Dokumente rasch auszubreiten.

Apple war in der Vergangenheit von einer potenziell schwerwiegenden Sicherheitslücke betroffen. Diese steckte allerdings im vorliegenden Fall nicht in einer Software oder Betriebssystemversion, sondern auf der  iCloud-Website.

Konkret war es einem Angreifer möglich, die Lücke durch manipulierte Pages- oder Keynote-Dokumente auszunutzen, hierbei wurde eine XSS-Schwachstelle ausgenutzt, die im Namensfeld einer Datei platziert war. In der Folge wären weitere Dokumente mit einer schädlichen Nutzlast manipulierbar gewesen, sobald der Nutzer seine Dokumente mit anderen Nutzern teilt. Wenn er es nach einer anschließend vorgenommenen Änderung noch eimal speichert und aus welchem Grund auch immer in die Versionsverwaltung geht, um frühere Versionen seines Dokuments einzusehen, ist die Infektion weiterer Dokumente möglich.

Apple hat den Fehler nun behoben

Entdeckt worden war die Schwachstelle von dem Sicherheitsforscher Vishal Bharad, der Apple bereits im August hierüber in Kenntnis gesetzt hatte und in einem Blog-Beitrag über das Problem berichtet. Am Ende sollte es sich für ihn lohnen: Apple zahlte dem Experten 5.000 Dollar Finderlohn.

Die Schwachstelle wurde zwischenzeitlich beseitigt, dies wurde serverseitig bei Apple vorgenommen, es waren keine Updates hierfür nötig.
Apple zahlt, wie die meisten Tech-Unternehmen, teils gutes Geld für die Entdeckung und diskrete Meldung von Sicherheitsproblemen.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!

Gefällt Dir der Artikel?

Roman van Genabith
twitter Google app.net mail