Schwer zu finden: Apple spielt Background-Security-Improvement-Update aus
Apple will mit sogenannten BSIs schneller Geräte aktualisieren, wenn es um kleinere Fixes geht. Das Problem: Die verstecken sich tief in den Einstellungen.
BSIs bei Apple werden zum Suchspiel.
(Bild: Ole.CNX / Shutterstock.com)
Mini-Update mitten in der Nacht: Apple hat sein erstes sogenanntes Background Security Improvement, kurz BSI, für Nutzer von iOS, macOS und iPadOS ausgespielt. Damit wird eine Sicherheitslücke im Apple-Browser Safari (beziehungsweise dessen Browser-Engine WebKit) geschlossen. Allerdings ist die Installation keineswegs simpel, Apple hat sie sogar gut versteckt – und zwar an einer Stelle, wo viele User erst gar nicht suchen. Selbst wenn zuvor automatische Updates aktiviert wurden, spielte sich das BSI nicht ein, wie Tests in der Mac & i-Redaktion zeigten.
Was hinter der neuen Update-Art steckt
BSIs sollen laut Apple dazu dienen, „Updates zwischen Updates“ zu ermöglichen, damit Nutzer nicht zu lange auf Aktualisierungen warten müssen, falls zwischen größeren Update-Paketen Lücken auftauchen. Der Vorteil der BSIs ist auch, dass sie meist nur einen kurzen Reboot der Geräte erfordern – manchmal sogar keinen –, der üblicherweise schneller ist als ein normaler Neustart.
Videos by heise
Die nun geschlossene Lücke scheint auf den ersten Blick nicht extrem kritisch zu sein: Es geht darum, böswillige Websites davon abzuhalten, die sogenannte Same Origin Policy zu umgehen. Damit könnte auf Daten in anderen Browser-Fenstern oder Browser-Tabs zugegriffen werden. Ob es bereits dazu kam, ist unklar. Apple nennt in seinen Release Notes zumindest keine „bekannten Berichte“, wie das bei schon vorhandenen Exploits der Fall ist.
Wo man die BSIs findet
Das Problem: Apple setzt auf eine andere Verteilinfrastruktur – und BSIs können sogar untergehen. Statt unter „Allgemein“ und „Softwareupdate“, wie normale Updates, findet man BSIs unter „Datenschutz & Sicherheit“. Dort muss man dann ganz nach unten scrollen zu „Im Hintergrund ausgeführte Sicherheitsverbesserungen“ (deutscher Begriff für BSIs). Hier kann man dann „Automatisch installieren“ aktivieren, wobei selbiges wie erwähnt zumindest bei unseren Versuchen nicht erfolgte – es kann dauern, da sich Apple hier einige Tage Zeit lässt.
Ansonsten taucht hier jedes neue BSI auf, das man dann anklicken muss, um es zu installieren – nach Eingabe der PIN. Die Installation selbst erfolgt wie erwähnt recht schnell. Warum Apple BSIs nicht einfach im Bereich „Softwareupdate“ aufführt, bleibt unklar.
Auf dem Mac ist das BSI auch nur im Bereich „Datenschutz & Sicherheit“ (nach ganz unten scrollen) zu finden und wird auch nur dort installiert. Auch hier dauert der Neustart etwas weniger lang. Prüfen, ob das BSI eingespielt wurde, lässt sich, in dem man im Bereich Softwareaktualisierung die Version prüft. Hier muss dann „26.3.1 (a)“ stehen (gilt für iPhone, iPad und Mac).
Unklar bleibt, was mit älteren Geräten passiert. Bei Safari-Fixes werden zumindest auf dem Mac normalerweise einzeln zu installierende Updates des Browsers zur Verfügung gestellt, das erfolgte dieses Mal aber nicht, das BSI taucht nur unter 26.3.1 auf. Bei der Direktinstallation von Safari unter älteren macOS-Versionen ist zudem kein Neustart erforderlich.
Nutzern, die noch nicht auf iOS, iPadOS und macOS 26.3.1 aktualisiert haben, wird Version 26.3.1 (a) mit dem BSI-Patch ĂĽber die normale Softwareaktualisierung angeboten. Das erleichtert die Installation deutlich, da man sich nicht durch MenĂĽs hangeln muss.
Offenbar müssen BSIs für Firmengeräte zudem via MDM dafür freigeschaltet sein – Diensthandys verweigern die Installation teilweise kommentarlos, der Download startet dann erst gar nicht.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
