Apple hat Updates veröffentlicht, um zwei Schwachstellen in seinen Betriebssystemen zu schließen. Das Unternehmen kenne Berichte, dass die Lücken aktiv ausgenutzt werden, hieß es schon in der Nacht auf Donnerstag. Seitdem steht auch eine neue, abgesicherte Version von iOS 15, iPadOS 15 sowie macOS 12 Monterey zum Download bereit. Inzwischen schob Apple außerdem einen Safari-Patch für die älteren macOS-Versionen 11 Big Sur und 10.15 Catalina nach.
Schwachstellen in WebKit und Kernel
Nach Angabe des Herstellers gibt es eine Schwachstelle in der Browser-Engine WebKit, die das Einschleusen und Ausführen von Schadcode ermöglicht – allein durch Aufruf einer manipulierten Webseite. WebKit steckt nicht nur im Browser Safari, sondern kommt an vielen Stellen des Betriebssystems zum Einsatz, um Web-Inhalte anzuzeigen.
Zudem besteht eine Lücke im Kernel der Betriebssysteme, die es Apps ermöglicht, beliebigen Code mit Kernel-Rechten auszuführen. Es ist zu vermuten, dass die Schwachstellen als Kombination zum Einsatz kommen: So könnte der Code über die WebKit-Lücke eingeschleust und dann mit Kernel-Rechten ausgeführt werden, um so die Kontrolle über iPhone, iPad oder Mac aus der Ferne zu übernehmen.
Laut Apple fußen die beiden als CVE-2022-32893 und CVE-2022-32894 geführten Bugs auf einem „Out-of-bounds write“-Problem. Software ist also in der Lage, außerhalb des zugewiesenen Speichers zu schreiben. Das sei mit den Updates durch besseres Bound-Checking behoben worden, erläutert der Hersteller. Die Fehler haben angeblich anonyme Sicherheitsforscher an das Unternehmen gemeldet. Weitere Details wurden nicht genannt.
iOS 15.6.1 und macOS 12.5.1 selbst einspielen
Falls nicht schon geschehen, sollten iPhone-, iPad- und Mac-Nutzer die Updates über die integrierte Software-Aktualisierung sofort herunterladen und manuell einspielen. In den iOS- und iPadOS-Einstellungen ist die Funktion unter „Allgemein“ im Bereich „Softwareupdate“ zu finden, dort stehen iOS 15.6.1 und iPadOS 15.6.1 zum Download bereit. Mac-Nutzer erhalten das Update auf macOS 12.5.1 in den Systemeinstellungen unter „Softwareupdate“. In macOS 11 und macOS 10.15 erscheint dort Safari 15.6.1.
Auch wer die automatischen Updates aktiviert hat, sollte die neuen Versionen lieber manuell laden. Apples Update-Automatik lässt sich gewöhnlich Zeit, die Patches erfolgen dann erst nach mehreren Tagen bis Wochen.
Keine Updates für iOS 12, 13 und 14
Für ältere iOS- und iPadOS-Versionen hat Apple bislang keine Updates veröffentlicht. Nutzer von iOS/iPadOS 13 und 14 können auf iOS 15 aktualisieren, um weiterhin solche wichtigen Sicherheits-Updates zu beziehen. Die beiden älteren Betriebssystemversionen erhalten offensichtlich keine Patches mehr. Für iOS 12 gibt es ebenfalls kein Update, Besitzer von iPhone 6 und 5s können auch nicht auf eine neuere Version aktualisieren. Laut Apple werden knapp 20 Prozent der aktiven iPhones immer noch mit einer älteren Version als iOS 15 betrieben, ebenso wie fast 30 Prozent der iPads (Stand Ende Mai 2022). Es ist zwar zu vermuten, dass die älteren Versionen der Betriebssysteme ebenfalls von den Schwachstellen betroffen sind, bestätigt wurde das bislang aber nicht.
Unklar ist auch, ob die jüngste Beta von iOS 16, iPadOS 16 und macOS 13 betroffen ist.
Halber Patch für ältere macOS-Versionen
In macOS 11 Big Sur und macOS 10.15 Catalina beseitigt der von Apple veröffentlichte Safari-Patch nur die WebKit-Schwachstelle und damit wohl das Einfallstor. Ein Fix für den Kernel-Bug liegt für die älteren macOS-Versionen nicht vor. Ob sie davon betroffen sind, ist unklar. Auf Nachfrage verwies Apple lediglich auf die Sicherheits-Support-Seite.
Aktive Angriffe auf iOS & Co: Vierte Apple-Warnung 2022
Ungewöhnlich ist all das nicht: Mit fast jedem Update beseitigt Apple Lücken in WebKit, die das Ausführen von Schadcode ermöglichen. Es ist außerdem schon das vierte Mal im laufenden Jahr, dass Apple bei der Veröffentlichung von Sicherheits-Patches vor aktiven Angriffen warnt. Besonders die nun außer der Reihe veröffentlichten Updates deuten an, dass Apple die Lücken als gravierend erachtet.
iPhone- und iPad-Nutzer können praktisch nicht viel mehr machen, als ihre Geräte auf dem neuesten Software-Stand zu halten. WebKit kommt in iOS als Engine für alle Browser zum Einsatz, die Verwendung eines anderen Browsers als Safari hilft in dieser Hinsicht also nicht weiter. Von Apple gibt es bislang kein konkretes Update-Versprechen für ältere Betriebssystemversionen, vereinzelt werden noch Patches bereitgestellt. Inwiefern iOS 15 nach der im wohl September folgenden Veröffentlichung von iOS 16 noch weitere Sicherheits-Updates erhält, bleibt abzuwarten.
Für die beiden der aktuellen Version vorausgehenden macOS-Versionen liefert Apple gewöhnlich zwar noch Sicherheits-Updates, dabei wurden in der Vergangenheit aber auch nicht alle Schwachstellen behoben.
(lbe)
