Meltdown: Apple liefert (endlich) Fix für ältere macOS-Versionen

Inhaltsverzeichnis

Apple hat in der Nacht zum Mittwoch macOS 10.11 (El Capitan) sowie macOS 10.12 (Sierra) gegen die Meltdown-Lücke abgedichtet. Das geht aus den Releasenotes der beiden neuen Aktualisierungspakete Security Update 2018-001 Sierra sowie Security Update 2018-001 El Capitan hervor. Nutzer sollten diese dringend einspielen. Das aktuelle macOS, 10.13 alias High Sierra, hatte erste Patches gegen Meltdown bereits im Dezember mit macOS 10.13.2 erhalten.

CPU-Sicherheitslücken Meltdown und Spectre

Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau.

• FAQ: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?
• Webinar: Meltdown & Spectre verstehen - was Unternehmen jetzt wissen müssen
• Meltdown und Spectre im Überblick: Grundlagen, Auswirkungen und Praxistipps
• Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern
• Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau
• Berichte und Nachrichten zu Meltdown & Spectre

macOS High Sierra erhielt Patches viel früher

Warum die Fixes für El Capitan und Sierra so viel länger benötigten, ist unklar – Apple hat sich dazu bislang nicht geäußert. Zunächst hatte es Anfang Januar Verwirrung darüber gegeben, ob macOS 10.11 und 10.12 nicht womöglich bereits gegen Meltdown gepatcht sind. Der Konzern hatte in den Releasenotes für das Security Update 2017-002 Sierra beziehungsweise Security Update 2017-005 El Capitan zunächst geschrieben, der Chipfehler sei behoben, strich diesen Hinweis dann kurze Zeit später aber wieder ohne weiteren Kommentar.

System angreifen mittels Audiodatei

Security Update 2018-001 Sierra und Security Update 2018-001 El Capitan beheben noch weitere sicherheitsrelevante Probleme. Betroffen sind unter anderem die Audiowiedergabe in Sierra, über die sich böswilliger Code mittels manipulierter Sounddateien ausführen ließ – und die Treiberfamilie IOHIDFamily, in der ein Zero-Day-Fehler steckte. Daneben gab es weitere Kernel-Fehler, die Apple gepatcht hat, ein Zertifikate-Problem (Sierra) sowie eine WLAN-Lücke (El Capitan, Sierra).

Update auch für Safari – und schwerwiegende Lücke

Neben den beiden Aktualisierungspaketen für SIerra und El Capitan hat Apple auch ein neues Safari-Update 11.0.3 für diese Betriebssysteme vorgelegt. Es behebt genau ein WebKit-Problem, das allerdings schwerwiegend ist: Angreifer hätten darüber böswilligen Code ausführen können, den sie in einer Website versteckten. (bsc)