Updates einspielen: Apple stopft kritische Lücken auf iPhone, iPad und Mac
Mit iOS 12.1.4 und einem Mojave-Update beseitigt das Unternehmen FaceTime-Schwachstellen – und Zero-Day-Exploits.
(Bild: dpa, David Moir/AAP/Illustration)
Apple hat am Donnerstagabend wichtige Sicherheits-Updates für iPhone, iPad und Mac veröffentlicht. iOS 12.1.4 beseitigt – wie angekündigt – eine gravierende Schwachstelle im VoIP-Dienst FaceTime, die es im Rahmen eines Gruppentelefonates erlaubte, das Mikrofon des Angerufenen zu aktivieren – bevor abgehoben wurde. Das Problem sei durch eine verbesserte Statusverwaltung behoben worden, wie das Unternehmen erklärte.
Apple findet weitere FaceTime-Lücke bei Sicherheitsprüfung
Gruppenanrufe in FaceTime sind nun wieder möglich, sobald Nutzer das Update auf iPhone oder iPad installiert haben. Apple hat die vor neun Tagen als Notfallmaßnahme abgeschaltete Funktion am Donnerstagabend Server-seitig wieder aktiviert – sie setzt nun aber iOS 12.1.4 voraus. Gruppenanrufe mit iOS 12.1 bis 12.1.3 bleiben blockiert, damit die Schwachstelle dort nicht mehr zum Belauschen ausgenutzt werden kann.
Man habe im Rahmen einer "sorgfältigen Sicherheitsprüfung" von FaceTime zudem ein Problem mit der Live-Foto-Funktion gefunden, schreibt Apple in den Angaben zu den Sicherheits-Updates, ohne das allerdings näher auszuführen.
Nutzer können während eines Videotelefonats Live-Fotos – sprich kurze Videos – anfertigen. Welche Schwachstelle dabei bestand, bleibt unklar. Gegenüber US-Medien teilte der Konzern mit, aus diesem Grund bleibe die Live-Fotos-Funktion von FaceTime in älteren Versionen von iOS und macOS blockiert.
Für Mac-Nutzer steht ein "ergänzendes Update" für macOS Mojave 10.14.3 zum Download bereit, das die FaceTime-Lücken ebenfalls beseitigen soll. Eine schwere Schwachstelle im Schlüsselbund von macOS bleibt offenbar weiter offen.
Google-Sicherheitsforscher: Zero-Day-Exploits in freier Wildbahn
Die außer der Reihe veröffentlichten Updates nutzt Apple außerdem, um zwei weitere Schwachstellen zu beseitigen: Ein Bug in Apples Foundation-Framework befähigt Apps nämlich, ihre Rechte auszuweiten (sowohl in iOS als auch macOS) – das soll in der neuen Version nicht länger möglich sein. Ein Fehler in IOKit ermöglicht Apps zudem, Schadcode mit Kernel-Rechten auszuführen, wie der Hersteller mitteilte – letzteres betrifft nur iOS.
Die Lücken wurden von einem anonymen Sicherheitsforscher sowie mehreren Google-Sicherheitsforschern an Apple gemeldet. Die Schwachstellen seien bereits als Zero-Day-Exploits in der freien Wildbahn ausgenutzt worden, teilte der Projektleiter von Googles Project Zero auf Twitter mit ohne weiter ins Detail zu gehen. Nutzer sollten die Updates umgehend einspielen.
Apple hat am Donnerstagabend auch ein Sicherheits-Update für die hauseigene Kurzbefehle-App freigegeben. Version 2.1.3 soll offenbar verhindern, dass manipulierte Shortcuts aus der Sandbox ausbrechen und so auf persönliche Nutzerdaten in Systemdateien Zugriff erhalten.
(lbe)
