Meltdown: Verwirrung um Patches für ältere macOS-Versionen

Die Intel-Chip-Lücke Meltdown ist in macOS 10.13.2. (High Sierra) teilweise behoben, das hatte Apple bereits in einer ersten Stellungnahme Ende letzter Woche mitgeteilt. Allerdings ist bislang noch unklar, ob auch die früheren macOS-Versionen Sierra (10.12) und El Capitan (10.11) bereits mit Patches versehen wurden. Auch bei Apple selbst scheint es darüber Verwirrung zu geben.

CPU-Sicherheitslücken Meltdown und Spectre

Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau.

• FAQ: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?
• Webinar: Meltdown & Spectre verstehen - was Unternehmen jetzt wissen müssen
• Meltdown und Spectre im Überblick: Grundlagen, Auswirkungen und Praxistipps
• Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern
• Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau
• Berichte und Nachrichten zu Meltdown & Spectre

Patch aus den Releasenotes verschwunden

So hatte der Konzern mit Datum 4. Januar zunächst in den entsprechend ergänzten Releasenotes zu seinen jüngsten macOS-Sicherheitsupdates geschrieben, ein Fix für die Meltdown-CVE-ID 2017-5754 stecke auch im Security Update 2017-002 Sierra sowie Security Update 2017-005 El Capitan. Diese stehen für macOS 10.12.6 und macOS 10.11.6 seit Anfang Dezember bereit. Etwas später wurde dieser Hinweis jedoch kommentarlos getilgt.

Mit Update-Datum 5. Januar heißt es an der Stelle in den Releasenotes nun nur noch, der Fix stehe für macOS 10.13.1 (mit Update auf macOS 10.13.2) zum Einspielen bereit. Entsprechend muss davon ausgegangen werden, dass die Meltdown-Lücke in El Capitan und Sierra noch klafft. Apple hatte zudem angekündigt, weitere Fixes, wohl auch gegen den zweiten Bug Spectre, mit späteren Updates nachzureichen.

Kritik an offengelassenen Lücken

Apple hatte in jüngster Zeit viel Kritik hervorgerufen, weil das Unternehmen bei macOS schwerwiegende Lücken zunächst nur in der jüngsten Version High Sierra patchte, obwohl macOS 10.12 und 10.11 eigentlich noch weitergepflegt werden, wenn es um Security-relevante Aktualisierungen geht. So blieb ein problematischer Bug in der Passwortdatenbank Schlüsselbund unter El Capitan und Sierra einen Monat lang länger ungefixt – obwohl der Entdecker die für die Behebung notwendigen Infos schon seit längerem an Apple weitergeleitet hatte.

Unter iOS wiederum wurde die Behebung der problematischen WLAN-Lücke KRACK für ältere Geräte statt im November erst im Dezember angegangen. Schwere Vorwürfe von Sicherheitsexperten gab es auch wegen Lücken in der Smart-Home-Umgebung HomeKit sowie wegen einem peinliche Rooting-Fehler in macOS High Sierra – hier waren El Capitan und Sierra wenigstens nicht betroffen. (bsc)