{"id":14726,"date":"2025-10-21T13:04:35","date_gmt":"2025-10-21T13:04:35","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/10\/21\/sicherheitsluecke-im-dolby-digital-plus-decoder-bedroht-android-ios-macos-und-windows\/"},"modified":"2025-10-21T13:04:35","modified_gmt":"2025-10-21T13:04:35","slug":"sicherheitsluecke-im-dolby-digital-plus-decoder-bedroht-android-ios-macos-und-windows","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=14726","title":{"rendered":"Sicherheitsl\u00fccke im Dolby Digital Plus Decoder bedroht Android, iOS, macOS und Windows"},"content":{"rendered":"<p>Eine Sicherheitsl\u00fccke im Dolby Digital Plus Unified Decoder gef\u00e4hrdete mehrere popul\u00e4re Betriebssysteme, darunter Android, iOS, macOS und Windows. Wie von Googles Project Zero aufgedeckt, erm\u00f6glichte ein Integer-\u00dcberlauf bei der Datenverarbeitung durch den DDPlus Unified Decoder unerlaubte Schreibzugriffe in einen heap-artigen Puffer, \u00fcberschreibt Strukturen wie Zeiger und somit die Ausf\u00fchrung von sch\u00e4dlichem Code. Unter Android stellte diese Schwachstelle eine Zero-Click-Anf\u00e4lligkeit dar, da das Betriebssystem alle Audionachrichten und -anh\u00e4nge zur Transkription mit diesem Decoder dekodiert, ohne dass Nutzerinteraktion n\u00f6tig ist. <\/p>\n<p>Die Forscher demonstrierten die L\u00fccke mit Beispieldateien, die zu Abw\u00fcrfen auf Ger\u00e4ten wie dem Google Pixel 9 und Samsung S24 f\u00fchrten, wobei ein Segmentation Fault (SIGSEGV) festgestellt wurde. Auf macOS-Ger\u00e4ten, beispielsweise einem MacBook Air M1 mit macOS 26.0.1, traten hingegen Sicherheitsmechanismen wie -bounds-safety traps in Aktion, die den Absturz zwar verhindern, aber das Risiko verdeutlichen. Google konnte mittels dieser Schwachstelle eingeschleusten Code auf einem Pixel 9 ausf\u00fchren und demonstrierte somit die Gef\u00e4hrlichkeit der L\u00fccke f\u00fcr Android-Ger\u00e4te. <\/p>\n<p>Erfreulicherweise wurde die Schwachstelle inzwischen geschlossen. Microsoft integrierte die Behebung in ihre Oktober-Sicherheitsupdates f\u00fcr verschiedene Windows-Versionen (CVE-2025-54957, CVSS 7.0, Risiko: hoch). Google ver\u00f6ffentlichte Mitte September eine Aktualisierung f\u00fcr ChromeOS, um das System vor dem Angriff zu sch\u00fctzen. Dolby selbst gab eine Sicherheitsmitteilung heraus und stufte das Risiko als mittel ein (CVSS 6.7), betonte aber die Notwendigkeit von Updates f\u00fcr betroffene Softwareversionen (UDC v4.5 bis v4.13) und forderte Anbieter auf, ihre Ger\u00e4te auf dem neuesten Stand zu halten. <\/p>\n<p>Diese L\u00fccke reiht sich in eine Reihe von Sicherheitsbedrohungen ein, wie beispielsweise die Zero-Click-L\u00fccke in WhatsApp Ende August, welche iOS- und macOS-Ger\u00e4te gleicherma\u00dfen gef\u00e4hrdete. Diese Vorf\u00e4lle unterstreichen die kontinuierliche Notwendigkeit von Software-Updates und Sicherheitsma\u00dfnahmen, um moderne digitale Systeme vor Angriffen zu sch\u00fctzen.<\/p>\n<p>Schlagw\u00f6rter: Google Pixel + Android + macOS<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine Sicherheitsl\u00fccke im Dolby Digital Plus Unified Decoder gef\u00e4hrdete mehrere popul\u00e4re Betriebssysteme, darunter Android, iOS, macOS und Windows. Wie von Googles Project Zero aufgedeckt, erm\u00f6glichte ein Integer-\u00dcberlauf bei der Datenverarbeitung durch den DDPlus Unified Decoder unerlaubte Schreibzugriffe in einen heap-artigen Puffer, \u00fcberschreibt Strukturen wie Zeiger und somit die Ausf\u00fchrung von&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":14725,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14726","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14726"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14726\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/14725"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}