iOS 18.6, macOS 15.6 und Co.: Apple stopft zahlreiche SicherheitslĂĽcken
Apple hat Details zu den in seinen neuen Betriebssystemen gestopften Löchern veröffentlicht. Die Liste ist erneut lang.
(Bild: Alberto Garcia Guillen/Shutterstock.com)
Apple-Nutzer sollten die in der Nacht zum Mittwoch veröffentlichten Updates für iOS 18, macOS 15 und die anderen Betriebssysteme zeitnah einspielen: Erneut hat der Hersteller jede Menge Fixes für sicherheitsrelevante Probleme ausgerollt. Mittlerweile wurden dazu auch Details per Supportdokument mitgeteilt. So kommen allein iOS 18.6 und iPadOS 18.6 mit insgesamt zwei Dutzend Fehlerbehebungen – plus 13 weiteren, die Apple (einmal mehr) nicht näher ausführt, dafür nur die jeweiligen Melder (Acknowledgments) angibt.
Mehr Fixes in macOS als in iOS
Die meisten Bugs stecken einmal mehr in Apples Browser-Engine WebKit – es sind acht detailliert beschriebene plus ein weiterer, den Apple nicht näher ausführt (dieser stammt interessanterweise vom Google V8 Security Team). Die WebKit-Fehler können sensible Daten abfließen lassen, die Adressleiste spoofen, den Speicher korrumpieren und zu Abstürzen sowie Denial-of-Service-Angriffen führen. Im Bereich der Barrierefreiheit wurde entdeckt, dass VoiceOver Passcodes vorlesen kann und unter bestimmten Umständen werden Kamera- und Mikrofonindikator nicht korrekt angezeigt. Fehler in CoreAudio, CoreMedia und CoreMedia Playback sorgten für Speicherfehler, Abstürze und das Ausleiten bestimmter Daten. Zwei Fehler betreffen das 3D-Framework Model I/O, einer die Grafikschnittstelle Metal. In Apple Mail wurden externe Inhalte teilweise geladen, obwohl der Nutzer das nicht wollte.
Videos by heise
macOS 15.6 enthält deutlich mehr Fixes als die Mobilbetriebssysteme: Es sind insgesamt über 80 plus 16 Acknowledgments. Wie es zu dieser Differenz im Vergleich zu iOS und iPadOS kommt, blieb zunächst unklar. Mehrere der Fehler erlauben es böswilligen Apps, Root-Rechte zu erlangen (unter anderem in StorageKit, Kernel, PackageKit, AppleMobileFileIntegrity und Core Services). Remote-Exploits nennt Apple (zunächst) nicht. Bugs unterschiedlicher Schwere stecken auch in den GPU-Treibern (Systemabsturz), Wo ist? (Fingerprinting-Möglichkeit) und Managed Configuration (Lockdown-Modus konnte deaktiviert werden). Weiterhin gibt es auch hier zahlreiche Fehlerbehebungen für WebKit-Bugs. Apple machte keine Angaben dazu, ob Fehler bereits ausgenutzt werden – es werden keine entsprechenden Berichte erwähnt.
Fehlerbehebungen für ältere Betriebssysteme
Informationen zu den Fixes in watchOS 11.6, tvOS 18.6 und visionOS 2.6 hat Apple inzwischen auch veröffentlicht. watchOS und tvOS beheben jeweils Teilbereiche der Lücken, die auch in iOS und macOS behoben wurden.
Gleiches gilt für visionOS 2.6 – "Spezialbugs" scheint es hier nicht zu geben. Apple stellt außerdem Updates für macOS Sonoma (14.7.7), macOS Ventura (13.7.7) und iPadOS 17 (17.7.9) bereit. Informationen zu einem Einzel-Update für Safari (18.6) standen zunächst nicht zur Verfügung – es ist auch Teil von macOS 15.6.
Apple hat unschönerweise für macOS 14 (Sonoma) und macOS 13 (Ventura) bislang kein Safari-Update auf Version 18.6 bereitgestellt. Dieses hätte üblicherweise als Einzel-Download verfügbar gemacht werden müssen. Was die Gründe dafür sind, blieb zunächst unklar. Wie erwähnt stecken in macOS 15.6, das Safari 18.6 gleich mitliefert, Fehlerbehebungen für zahlreiche WebKit-Lücken, die unter macOS 13 und 14 nun zunächst ohne Fix bleiben.
Apple hat Safari 18.6 in der Nacht zum Donnerstag nun auch einzeln für macOS 13 und 14 online gestellt. Der Download erfolgt wie gewohnt über die Softwareaktualisierung in den Systemeinstellungen. Das Update enthält die WebKit-Fixes, die auch in macOS 15.6 stecken. Mittlerweile wurde bekannt, dass darunter auch ein Zero-Day-Exploit ist, der unter Chrome ausgenutzt wurde – man sollte also schnell aktualisieren.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
