Salamitaktik: Apple gibt weitere Infos zu SicherheitslĂĽcken in iOS 18 heraus
Noch immer gibt es zu einigen in iOS 18 gestopften Löchern keine näheren Infos von Apple. Teilweise hat sich das mittlerweile geändert.
Apple-Logo und ein offenes Schloss: Es dauert inzwischen lange, bis alle Infos zu Sicherheitspatches vorliegen.
(Bild: Alberto Garcia Guillen/Shutterstock.com)
Mit Erscheinen von iOS 18 hatte Apple im September zahlreiche, auch schwere Sicherheitslücken gestopft. Das dazugehörige Supportdokument mit weiteren Informationen, welche Bugs das konkret waren, fiel allerdings wie schon häufiger in der Vergangenheit unvollständig aus. Wie der Mastodon-Account @ApplSec schreibt, der Apple-Sicherheitslücken verfolgt, hat Apple in dieser Woche einige Hintergründe dazu nachgereicht, jedoch noch immer nicht alle. Nutzer und Sicherheitsexperten mussten auf diese fast ein halbes Jahr warten.
Fünfzehn Ergänzungen nach einem halben Jahr
Laut @ApplSec wurden insgesamt 15 Bug-Einträge für iOS 18 und iPadOS 18 ergänzt. Erkennbar sind diese am Hinweis, dass der Eintrag am 3. März 2025 vorgenommen wurde. Zu den "frischen" Bugs zählen ein Clickjacking-Problem mit Zugriffsmöglichkeit auf die Fotomediathek, diverse WebKit-Bugs, ein Systemabschuss über die WLAN-Routine, die Möglichkeit, eine sichere WLAN-Verbindung zu unterbrechen, Sandbox-Ausbrüche, Bugs in der Passwörter-App, ein unerwünschtes Auslesen von Kontaktdaten mittels Siri oder ein Fehler im Accessibility-Framework, mit dem Angreifer Geräte in der Nähe "kontrollieren" konnten (wie genau, bleibt unklar).
Videos by heise
Hinzu kommen weitere Einträge, bei denen Apple nur den Bereich nennt, in dem ein Bug vorhanden war, aber keine weiteren konkreten Details außer den jeweiligen Tippgeber ("Additional Recognition"). Ob und wann hier Infos nachgeliefert werden, bleibt unklar. Diese Taktik verfolgt der Konzern leider seit langem. Auch schwerwiegende Probleme wie eine mögliche Angriffsform auf das "Wo ist?"-Protokoll wurden hier "versteckt". Neben den Ergänzungen gab es auch Aktualisierungen bestehender Einträge – insgesamt sieben Stück sollen es laut dem Bericht gewesen sein.
Nicht nur iOS und iPadOS betroffen
Apple hat auch bei seinen anderen Betriebssystemen Ergänzungen und Updates an den Informationsdokumenten zu enthaltenen Fixes vorgenommen. Bei macOS 15 sind es 14 (vier Updates), bei tvOS 18 insgesamt sieben (ein Update), bei watchOS 11 insgesamt fünf (ein Update) und bei visionOS 2 insgesamt acht Ergänzungen. Auch iOS und iPadOS 17.7 sowie macOS 13.7 und macOS 14.7 erhielten Aktualisierungen (jeweils eine plus ein Update bei iOS und iPadOS 17.7).
Alles in allem ist das eine unschöne Entwicklung: Nutzer, Entwickler und Sicherheitsfachleute müssen genau hinsehen, um festzustellen, welche Lücken Apple gestopft hat. Teilweise werden Informationen erst verspätet weitergegeben, um Angriffe zu verhindern – da die Bugs bei den noch nicht gepatchten Versionen aber "in the wild" sind, ist das nicht unbedingt eine kluge Taktik. Fast sechs Monate ohne Details sind aber inakzeptabel.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
