Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Aktiv ausgenutzte Lücke: Apple legt Safari-Update für älteres macOS nach

macOS 11.3.1 fixte zwei problematische WebKit-Bugs. Catalina- und Mojave-Nutzer blieben zunächst ungeschützt. Das ändert Apple nun.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Safari von Apple

Safari ist Apples zentraler Browser auf allen wichtigen Systemen.

(Bild: Apple)

Lesezeit: 2 Min.
Mac & i
Von
Inhaltsverzeichnis

Apple hat in der Nacht zum Mittwoch ein Safari-Update für macOS 10.14 (Mojave) und macOS 10.15 (Catalina) veröffentlicht. Es war eigentlich schon einen Tag früher erwartet worden. In der Nacht zum Dienstag hatte Apple bereits macOS Big Sur mit der Aktualisierung 11.3.1 versorgt, die eben jenen Safari-Patch enthält, der Lücken schließt, für die Exploits kursieren sollen.

Apple brauchte einen Tag länger

Schon zu diesem Zeitpunkt stand die Frage im Raum, warum nicht auch Mojave und Catalina ein Update bekommen – selbst iOS 12 erhielt Montagnacht eine Aktualisierung. Doch Apple musste offenbar an den Versionen für macOS 10.14 und 10.15 etwas länger stricken; warum, bleibt unklar. Laut Beipackzettel werden die CVE-IDs 2021-30665 und 2021-30663 angegangen, die auch mit macOS 11.3.1 bearbeitet wurden. Eine Aktualisierung ist dringend angeraten.

Nur eine neue Buildnummer

Bei den Lücken handelt es sich um einen Speicherfehler sowie einen Integer-Overflow. Beide Bugs lassen die Ausführung beliebigen Codes über Web-Inhalte zu – es würde also ausreichen, auf eine entsprechend präparierte Seite zu gelangen, um sich Malware einzufangen. Laut Apple gibt es "Bericht(e), dass die Lücke(n) bereits aktiv ausgenutzt werden". Details dazu – etwa, ob es sich um eine breite Kampagne oder Angriffe auf Einzelpersonen handelt – fehlen leider. Apple teilt mit, dass die neue Safari-Version weiterhin auf die Versionsnummer 14.1 hört. Die Buildnummer ist nach Installation allerdings eine andere: 15611.1.21.161.7 unter Catalina und 14611.1.21.161.7 unter Mojave.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wann das Update auftaucht

Der neue Safari-Build taucht allerdings nicht auf allen Macs automatisch auf. Offenbar ist es Pflicht, dass unter macOS 10.15 zuvor das Security-Update 2021-002 eingespielt wurde, bevor das passiert – unter Mojave könnte das Security-Update 2021-003 verpflichtend sein. Beide sind sowieso empfehlenswert, weil sie schwerwiegende Lücken stopfen. (bsc)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac OS X

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten