„Sploitlight“-Schwachstelle jetzt patchen
macOS: Sicherheitslücke erlaubt Zugriff auf private Dateien
Mac-Nutzer sollten updaten: Die „Sploitlight“-Schwachstelle nutzte Spotlight-Plugins aus, um an vertrauliche Daten wie Standortinformationen, Fotos und iCloud-Daten zu gelangen.

Laut Microsoft Threat Intelligence ermöglichte eine Schwachstelle im macOS-Dateisuchsystem Spotlight den Zugriff auf Dateien, die eigentlich durch das Datenschutzsystem TCC (Transparency, Consent, and Control) geschützt sind. Betroffen sind unter anderem Inhalte im Downloads-Ordner sowie Cache-Dat...
Laut Microsoft Threat Intelligence ermöglichte eine Schwachstelle im macOS-Dateisuchsystem Spotlight den Zugriff auf Dateien, die eigentlich durch das Datenschutzsystem TCC (Transparency, Consent, and Control) geschützt sind. Betroffen sind unter anderem Inhalte im Downloads-Ordner sowie Cache-Dateien der neuen Apple-Intelligence-Funktionen.
Die Lücke ist unter dem Namen „Sploitlight“ bekannt geworden, weil sie über manipulierte Spotlight-Plugins funktioniere. Spotlight verwendet sogenannte Importer-Plugins, um bestimmte Dateitypen zu indizieren. Diese Plugins laufen mit speziellen Rechten, wodurch sie Dateien auch ohne Nutzerfreigabe analysieren können.
Weitreichender Datenzugriff möglich
Die Auswirkungen sind besonders kritisch, da auch sensible Informationen aus den Apple-Intelligence-Caches abgegriffen werden könnten. Dazu zählen laut Microsoft Standortdaten, Metainformationen von Fotos und Videos, erkannte Personen, Suchverläufe und Nutzereinstellungen.
Ein weiterer Risikofaktor besteht in der Verknüpfung von Geräten über iCloud. Durch die gemeinsame Nutzung von Metadaten könnten Angreifer so auch Informationen von anderen, verknüpften Geräten abrufen.
Ablauf der Ausnutzung
Die Sicherheitsforscher konnten demonstrieren, dass Angreifer manipulierte Spotlight-Plugins nutzen können, um gezielt Dateien aus geschützten Ordnern zu lesen. Dabei sei es nicht erforderlich, dass die Plugin-Dateien signiert sind – sie können einfach in das Nutzerverzeichnis kopiert und aktiviert werden. Die Daten würden anschließend in kleinen Teilen über die Systemprotokolle ausgelesen.
Ein speziell entwickeltes Proof-of-Concept-Tool, das den Angriff automatisiert, ist an Apple übermittelt worden. Die Schwachstelle wurde unter der Kennung CVE-2025-31199 registriert und im März 2025 mit einem Update für macOS Sequoia geschlossen.
Schutz und Maßnahmen
Apple hat die Lücke inzwischen geschlossen. Microsoft empfiehlt Nutzenden, die bereitgestellten Sicherheitsupdates umgehend zu installieren. Gleichzeitig wurde Microsoft Defender for Endpoint erweitert, um ungewöhnliche Aktivitäten durch Spotlight-Plugins frühzeitig erkennen zu können.