Aktiv ausgenutzte Lücken: Apple patcht iOS, macOS und watchOS

macOS 11.3.1, iOS 14.5.1 und watchOS 7.4.1 beheben ein akutes Sicherheitsproblem in Safari. Außerdem wird ein Bug beim iPhone-App-Tracking-Schutz gefixt.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
Diverse iPhones

(Bild: Apple)

Lesezeit: 2 Min.
Inhaltsverzeichnis

Apple hat in der Nacht zum Dienstag ein Update außer der Reihe für seine wichtigsten Betriebssysteme publiziert. Es dient vor allem dazu, zwei offenbar bereits aktiv ausgenutzte Löcher in WebKit, Apples Browser-Engine für Safari, zu stopfen.

Verfügbar sind Aktualisierungen auf iOS und iPadOS 14.5.1, macOS 11.3.1 sowie watchOS 7.4.1. Ältere iPhones, iPads und iPod-touch-Geräte werden mit iOS 12.5.3 gepatcht.

In Big Sur 11.3.1 und iOS beziehungsweise iPadOS 14.5.1 sind die CVE-IDs 2021-30665 und CVE-2021-30663 angegangen worden. Dabei handelt es sich um einen Speicherfehler und einen Integer-Overflow, die beide zur Ausführung beliebigen Codes über manipulierte Web-Inhalte genutzt werden könnten. watchOS 7.4.1 kümmert sich nur um die CVE-ID 2021-30665 (Speicherfehler in WebKit), die anderen Bugs sind auf der Computeruhr offenbar nicht relevant.

Unklar bleibt, was mit früheren Safari-Versionen auf dem Mac ist. Einen Einzelpatch für den Browser unter Mojave (macOS 10.14) oder Catalina (macOS 10.15) stellt Apple bislang nicht bereit; hier bleibt die Hoffnung, dass die in Big Sur behobenen Lücken darin entweder fehlen oder die Updates schnell nachgeliefert werden.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Apple betont, dass dem Konzern ein Bericht vorliegt, laut dem die Bugs bereits aktiv über einen Exploit ausgenutzt werden. Deshalb sei das Einspielen der Aktualisierungen "wichtig". Nähere Angaben dazu macht Apple leider nicht – also wer hier wen anzugreifen versucht und wie verbreitet der Exploit bereits ist.

iPadOS 14.5.1 und iOS 14.5.1 beheben zusätzlich ein weiteres Problem. Apples lange angekündigte und mit iOS beziehungsweise iPadOS 14.5 aktivierte App-Tracking-Transparenz-Funktion (ATT) funktionierte nicht richtig. Apple ist das bewusst: Nutzer, die in früheren Betriebssystemen über die Systemeinstellungen allen Apps bereits verboten hatten, zu tracken, erhielten keine Einwilligungsanfragen mehr, selbst wenn sie das Tracking wieder grundsätzlich erlaubten. Das ist auch der Mac & i-Redaktion mit eigenen Geräten aufgefallen.

(bsc)