macOS 10.14 und iOS 12 schließen viele Sicherheitslücken

Apple hat Informationen zu Security-relevanten Fehlerbehebungen in den beiden Betriebssystemen publiziert. Auch in tvOS 12 und watchOS 5 stecken diverse Fixes.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Sprachmemos Mojave

macOS Mojave – hier die neue Sprachmemos-App.

(Bild: Screenshot via iMore)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Updates von Apple-Betriebssystemen bringen normalerweise ein Bündel an sicherheitsrelevanten Fehlerbehebungen mit. Bei macOS 10.14 Mojave, iOS 12, watchOS 5 und tvOS 12 ist das nicht anders. Allerdings hat sich der Hersteller diesmal etwas Zeit gelassen, Hintergrundinfos zu gefixten Bugs zu publizieren – erst seit dieser Woche stehen die entsprechenden Dokumente zu iOS 12, watchOS 5 und tvOS 12 bereit, zusammen mit denen zu Mojave.

Das neue Mac-Betriebssystem soll laut Apple-Angaben Fehler in mindestens sieben Bereichen angehen. Allerdings nennt der Konzern unter der Überschrift "Zusätzliche Anerkennung" (Additional Recognition) fünf weitere (plus einmal mehr "Security"), ohne dass es dort Bugdetails geben würde – nur die "Helfer", also die jeweiligen Bugjäger, sind aufgeführt. Möglicherweise werden die Informationen hier später nachgereicht. Zu den gefixten Bugs gehört eine Lücke im Bluetooth-Protokoll, mit der "Angreifer in privilegierter Netzwerkposition" den Datenverkehr abfangen konnten.

Über den App Store war es möglich, die Apple ID eines Nutzers auszulesen; ein ähnliches Problem steckte in der Auto-Unlock-Funktion. Die Anwendungs-Firewall erlaubte eine Umgehung der Sandbox-Beschränkungen. Bugs steckten außerdem im Kernel (Codeausführung möglich) und in den Security-Routinen (RC4-Verschlüsselungslücken). Apple hat bislang noch keine Sicherheitsupdates für die Vorgängerbetriebssystemversionen High Sierra (macOS 10.13) und Sierra (macOS 10.12) publiziert – eine eher ungewöhnliche Vorgehensweise, da nicht jeder Nutzer direkt auf Mojave aktualisieren dürfte.

Auch in iOS 12 werden diverse sicherheitsrelevante Fehler behoben. Auch hier nennt Apple derzeit nicht alle Bug-Details und führt eine Trennung zwischen Fix-Informationen und "Zusätzlicher Anerkennung" ein. Ebenfalls existierte hier das Bluetooth-Problem aus macOS. Ein Spoofing-Trick, mit dem Angreifer potenziell iTunes-Passwörter abgreifen konnten, wurde unterbunden. Im Kernel steckten mehrere von außen ausnutzbare Lücken.

In der Nachrichten-Anwendung gab es ein Problem mit dem Löschen von Nachrichten, die sich lokal möglicherweise wieder hervorholen ließen. Ein solches Löschproblem existierte außerdem in der Notizen-App. Weiterhin gab es einen Trick, mit dem ein Angreifer mit Zugriff auf das gesperrte iPhone die letzte verwendete App erkennen konnte – dieser funktioniert nun nicht mehr. Diverse, auch schwerwiegende, Lücken wurden zudem in Safari und dessen Engine WebKit gestopft.

In watchOS 5 stecken Fixes unter anderem für Kernel-Bugs, WebKit-Probleme und das iTunes-Passwort-Problem. Auch hier verrät Apple derzeit noch nicht alle Details zu geschlossenen Lücken. Der Bluetooth-Fehler steckt in der Watch offenbar nicht – zumindest wird er nicht als behoben aufgeführt. tvOS 12 liefert ebenfalls diverse Fehlerbehebungen – unter anderem im Kernel, in WebKit, Bluetooth und anderen Bereichen. (bsc)