CVE-2025-43200: iCloud-Link-Angriff auf Apple-Geräte entdeckt

Table of Contents

Am 16. Juni 2025 wurde eine neue Sicherheitslücke mit der Kennung CVE-2025-43200 und der EUVD-ID EUVD-2025-18428 veröffentlicht. Die Schwachstelle betrifft zahlreiche Apple-Betriebssysteme, darunter iOS, macOS, watchOS, iPadOS und visionOS. Obwohl der CVSS-Basisscore bei „nur“ 4.8 liegt, stuft das US-Cybersicherheitsamt CISA die Schwachstelle aufgrund ihres Einsatzes in gezielten Angriffen als kritisch genug ein, um sie in den Known Exploited Vulnerabilities Catalog (KEV) aufzunehmen.

Technische Details zur Schwachstelle

  • CVE-ID: CVE-2025-43200
  • EUVD-ID: EUVD-2025-18428
  • Schweregrad (CVSS 3.1): 4.8 (Mittel)
  • Exploitability (EPSS Score): 0.95 %
  • Angriffsvektor: Netzwerk (AV:N)
  • Komplexität des Angriffs: Hoch (AC:H)
  • Erforderliche Rechte: Keine (PR:N)
  • Benutzereingriff: Nicht erforderlich (UI:N)
  • Auswirkung auf Vertraulichkeit und Integrität: Teilweise (C:L/I:L)
  • Verfügbarkeit: Nicht betroffen (A:N)
  • Veröffentlichung: 16. Juni 2025
  • Letztes Update: 18. Juni 2025

Die Schwachstelle liegt in einem logischen Fehler, der beim Verarbeiten speziell präparierter Fotos oder Videos über einen iCloud-Link ausgenutzt werden kann. Ein Angreifer könnte ohne Interaktion des Nutzers manipulierte Inhalte versenden, die beim automatisierten Verarbeiten auf dem Gerät ausgenutzt werden – z. B. durch Vorschaufunktionen oder Hintergrundprozesse. Laut Apple wurde die Schwachstelle bereits in einem hochentwickelten Angriff auf gezielt ausgewählte Individuen ausgenutzt.

Die Schwachstelle wurde mit verbesserten Prüfmechanismen in folgenden Versionen behoben:

  • watchOS 11.3.1
  • macOS Ventura 13.7.4
  • macOS Sonoma 14.7.4
  • macOS Sequoia 15.3.1
  • iOS / iPadOS 15.8.4, 16.7.11, 17.7.5, 18.3.1
  • visionOS 2.3.1

Apple hat mehrere Support-Artikel zur Verfügung gestellt, in denen Details zu den einzelnen Patches aufgeführt sind:

Related Posts

Journalisten im Visier: Graphite-Spyware nutzt Zero Click iMessage Schwachstelle

Erstmals konnte das Überwachungs-Tool Graphite des israelischen Herstellers Paragon Solutions forensisch auf iPhones nachgewiesen werden. Zwei Journalisten – darunter der Italiener Ciro Pellegrino und ein anonymer europäischer Kollege – wurden Ziel einer raffinierten Zero-Click-Attacke über iMessage. Die Angriffe erfolgten im Januar und Februar 2025 und wurden durch Apple-Sicherheitswarnungen am 29. April 2025 publik.

Read More

Kritische Lücke CVE-2025-49796 in libxml2 führt zu Denial of Service

In der vergangenen Woche wurde die Sicherheitslücke CVE-2025-49796 in der weit verbreiteten XML-Bibliothek libxml2 öffentlich vergeben. Verantwortlich dafür ist eine Type-Confusion in der Schematron-Komponente, die während der Verarbeitung von sch:name-Elementen zu einem ungültigen Namespace-Pointer (0xffffffffffffffff) und damit zu undefiniertem Verhalten bis hin zu einem Denial of Service führen kann. Der Schweregrad wird mit einem CVSS 4.0-Wert von 8,7 angegeben. Entdeckt wurde die Schwachstelle von Nikita Sveshnikov von Positive Technologies; zeroday.pt hatte das Ticket vor rund einer Woche eröffnet. Als kurzfristige Gegenmaßnahme lässt sich in der Funktion xmlSchematronFormatReport eine zusätzliche Prüfung auf den fehlerhaften Pointer einbauen, bis ein offizieller Patch der ungewarteten Schematron-Codebasis vorliegt.

Read More

Kritische Sicherheitslücke im Dell NAS System PowerScale

Dell hat am 4. Juni 2025 die Sicherheitsempfehlung DSA-2025-208 für PowerScale OneFS veröffentlicht, mit der mehrere teils kritische Schwachstellen gestopft werden. Besonders gravierend ist eine fehlende Authorisierung in der NFS-Exportfunktion (CVE-2024-53298, CVSS 9.8), über die sich ein Angreifer unbemerkt Zugriff auf beliebige Dateien verschaffen und das System komplett kompromittieren kann. Darüber hinaus wurden eine SQL-Injection in OneFS (CVE-2025-32753, CVSS 5.3) sowie weitere Lücken in FreeBSD-Komponenten (CVE-2024-53580) und im SupportAssist (CVE-2024-39689, CVE-2024-51538) behoben.

Read More