Apple-Updates beheben schwere Lücken in iOS und macOS

Entfernte Angreifer können möglicherweise Schadcode auf dem iPhone ausführen, warnt Apple. Nutzer sollten die jüngsten Updates zügig einspielen.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Apple-Logo

(Bild: dpa, Alan Diaz)

Lesezeit: 2 Min.
Von
  • Leo Becker

Mit den jüngsten System-Updates hat Apple auch zahlreiche Schwachstellen behoben – darunter kritische. iOS 12.3 beseitigt nach Angabe des Herstellers über 40 Sicherheitslücken auf iPhone, iPad und iPod touch. Dazu gehören gravierende Schwachpunkte, die das Ausführen von Schadcode, Rechteausweitung, die Modifizierung des Dateisystems und das Auslesen von Speicher ermöglichen.

Die Sicherheitslücken bestehen nicht nur im Kontext lokaler Apps, wie Apple warnt: Auch der Aufruf manipulierter Webseiten kann das Ausführen von beliebigem Code ermöglichen, heißt es in dem bislang nur auf Englisch vorliegenden Support-Dokument zu iOS 12.3 – rund die Hälfte der behobenen Sicherheitslücken besteht in der WebKit-Engine des Standard-Browsers Safari. Browser anderer Hersteller müssen unter iOS ebenfalls WebKit einsetzen.

Auch entfernte Angreifer sind möglicherweise in der Lage, Schadcode auszuführen, merkt der Konzern an – wegen eines Fehlers im Mail Message Framework. Dies deutet an, dass eine manipulierte E-Mail ausreicht, um Code einzuschleusen. Ob der Nutzer die Mail dafür öffnen muss, bleibt vorerst unklar, Details zu der Schwachstelle wurden noch nicht bekannt. Gefunden wurde die Lücke von der Google-Sicherheitsforscherin Natalie Silvanovich, die zuvor bereits schwere Lücken in FaceTime und WhatsApp aufgedeckt hatte.

Ein iOS-Gerät lasse sich außerdem passiv per WLAN tracken, führt Apple weiter aus. Dieses Datenschutzproblem wurde in iOS 12.3 beseitigt, indem die MAC-Adresse nicht länger ausgesendet wird.

Auch die Updates für die macOS-Versionen 10.14 Mojave, 10.13 High Sierra und 10.12 Sierra sollen über 40 Sicherheitslücken ausräumen, darunter ebenfalls die bereits erwähnten Schwachstellen in WebKit. Benutzer der beiden älteren macOS-Versionen müssen dafür zusätzlich Safari 12.1.1 installieren.

Ein EFI-Bug kann in macOS Mojave bis hin zu Version 10.14.4 zudem dafür sorgen, dass ein Nutzer sich beim Anmelden unerwartet im Account eines anderen Benutzers wiederfindet, wie Apple mitteilte. Auch die System-Updates für watchOS und tvOS räumen Sicherheitslücken aus. Ob die gestopften Lücken bereits aktiv ausgenutzt werden, bleibt vorerst offen. Da Sicherheitsforscher nun möglicherweise weitere Details und Exploits veröffentlichen, sollten Nutzer die System-Updates baldestmöglich installieren.

(lbe)