Apple reicht "wichtiges Sicherheitsupdate" für Apple Watch nach

iOS 14.7.1, iPadOS 14.7.1 und macOS 11.5.1 behoben bereits eine kritische Lücke, nun kommt auch noch watchOS 7.6.1 hinzu.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen

(Bild: Shutterstock/Jacob Lund)

Lesezeit: 2 Min.

Apple hat in der Nacht zum Freitag eine weitere Sicherheitsaktualisierung publiziert. Diesmal ist die Computeruhr Apple Watch betroffen. Sie erhielt das Update 7.6.1, das laut Angaben des Konzerns ein "wichtiges Sicherheitsupdate" darstellt. Tatsächlich handelt es sich um die Behebung eines Fehlers, der auf Mac, iPhone und iPad vor drei Tagen bereits gefixt worden war. Wieso die Apple Watch hier warten musste, bleibt unklar. Eine tvOS-Version – das wäre die letzte übriggebliebene Plattform des Konzerns mit sichtbarer Benutzerschnittstelle – des Fixes gibt es bislang nicht.

Laut Apples Angaben behebt watchOS 7.6.1 einen Fehler in der zentralen Routine IOMobileFrameBuffer. Dieser wird laut Berichten an Apple bereits aktiv ausgenutzt und ist tückisch, da er Angreifer beliebigen Code mit Kernel-Privilegien ausführen lässt – durch eine auf dem Gerät bereits vorhandene App. Der Bug selbst ist ein Speicherfehler. Exploit-Code und nähere Erklärungen eines IT-Security-Experten, der auf das Problem offenbar schon im März aufmerksam gemacht hatte, existieren bereits. Merkwürdigerweise nennt Apple jedoch nur einen "anonymen Sicherheitsforscher" als Quelle. watchOS-Updates werden über die Computeruhr direkt (Systemeinstellungen) oder via iPhone eingespielt.

Gerätselt wird weiterhin, ob die IOMobileFrameBuffer-Problematik zumindest ein Teil der Exploitkette der hochproblematischen Spyware Pegasus sein könnte, von der immer noch nicht klar ist, ob Apple sie abschließend bekämpft hat. Die Herausgabe der Patches für jeweils nur eine Lücke zeigt jedoch, wie ernst der Bug zu nehmen ist. Entsprechend sollten Nutzer das Update dringend installieren.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Pegasus ist ein sogenannte Zero-Click-Angriff, der offenbar über iMessage und Apple Music durchgeführt wird. Nutzer müssen nichts weiter tun, um sich zu infizieren – also auch nicht auf einen Link klicken oder sich Schadcode auf eine andere Art "bewusst" einfangen. Das gilt Experten als hochproblematisch. Sie haben Apple bereits aufgefordert, wichtige Programmteile in den Betriebssystem neu zu schreiben, um solchen Bugs einen Riegel vorzuschieben.

Unklar ist nochm, ob der IOMobileFrameBuffer-Fehler auch ältere macOS-Versionen betrifft; weder für Catalina noch für Mojave hat Apple bislang entsprechende Updates bereitgestellt. (bsc)