Aktive Exploits: macOS 12.5.1, iOS 15.6.1 und iPadOS 15.6.1 verfügbar
Apple legt nochmals Aktualisierungen für seine 2021er Betriebssysteme vor. Grund sind wichtige Sicherheitsfixes. Für die Apple Watch kommt ein Extra-Update.
(Bild: Apple)
Apple hat am Mittwochabend Updates außer der Reihe für iPhone, iPad und Mac veröffentlicht, die über die Aktualisierungsfunktion in den Systemen zu beziehen sind. Grund sind zwei Sicherheitslücken, zu denen dem Konzern laut eigenen Angaben Berichte über aktive Exploits vorliegen.
WebKit und Kernel betroffen
Die neuen Versionen sind iOS 15.6.1 und iPadOS 15.6.1 für iPhone und iPad sowie macOS Monterey 12.5.1 für den Mac. Apple empfiehlt eine baldige Installation. Bislang ist unklar, wer die Angreifer sind, die die Zero-Day-Fehler aktuell ausnutzen – und wer mögliche Opfer. In den Patch-Notizen werden jeweils "anonyme Sicherheitsforscher" als Melder genannt; entsprechend lässt sich auch daraus nichts Näheres schließen. Ob auch ältere iOS- oder macOS-Versionen betroffen sind, hat Apple nicht kommuniziert.
Die Fehler tragen auf Mac, iPhone und iPad jeweils die gleichen beiden CVE-IDs. Sie stecken im Kernel sowie in der Safari-Browser-Engine WebKit, die auf iPhone und iPad traditionell das einzige Web-Anzeigemodul darstellt, das Apple erlaubt. Auf dem Mac dürfen auch alternative Browser mit anderen Engines verwendet werden – Safari ist aber auch hier der Standard-Web-Betrachter, was das Gefahrenniveau erhöht. Apples Angaben zufolge kann über den Kernel-Fehler dank eines Out-of-Bounds-Fehlers beliebiger Code mit Kernel-Privilegien ausgeführt werden – ein kritischer Bug. In WebKit können wiederum manipulierte Websites beliebigen Code ausführen. Möglicherweise kombinieren die Angreifer beide Bugs, dies ist jedoch noch unklar.
watchOS 8.7.1 für bestimmtes Modell
Neben den Updates für iPhone, iPad und Mac hat Apple am Mittwochabend auch eine watchOS-Aktualisierung vorgelegt. Diese ist allerdings nur für die Apple Watch Series 3 gedacht, ein völlig veraltetes Modell von 2017, das Apple aber weiterhin anbietet und auch mit Updates versorgt.
watchOS 8.7.1 behebt laut Beipackzettel einen Fehler, der für unerwartete Neustarts der Computeruhr sorgen kann. Neuere Baureihen betrifft der Bug offenbar nicht, entsprechend bleibt hier watchOS 8.7 aktuell. Die zwei in iOS, iPadOS und macOS behobenen Sicherheitslücken scheint es auf der Watch nicht zu geben – watchOS 8.7.1 enthält jedenfalls explizit keine Sicherheitsfixes.
Nach wie vor ist unklar, welcher Angriffsvektor beim von Apple gepatchten Kernel-Exploit in macOS 12, iOS 15 und iPadOS 15 verwendet wird. Beim WebKit-Bug ist dieser klar – und wiegt schwer: Es reicht der Besuch einer präparierten Website (oder das Klicken eines entsprechenden Links). Apple hat sich bislang nicht dazu geäußert, mit welchen Rechten der darüber ausführbare Code ausgestattet ist. Sollte es sich tatsächlich um Root-Rechte handeln, könnte ein Angreifer praktisch alles auf dem Gerät anstellen. Dazu gehört das Keylogging, das Mitlesen von Netzwerkverkehr, das Auslesen und Manipulieren von (Zugangs-)Daten, das Abgreifen von Fotos oder die Aktivierung von Kamera und Mikrofon. Im Firmenkontext sind diverse Manipulationen über MDM-Funktionen sowie das Entwenden von Firmengeheimnissen denkbar. Apples schneller Patch von nur zwei Fehlern zeigt, dass der Konzern das Problem sehr ernst nimmt.
- Für macOS 11 Big Sur und macOS 10.15 Catalina hat Apple ein Update für Safari nachgeliefert, das die Schwachstelle in WebKit ausräumen soll. Falls der Kernel-Bug die beiden älteren Betriebssystemversionen ebenfalls betrifft, steht diese Lücke weiter offen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
