Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Apple erzwingt Nutzung von iOS 16.3.1 – wegen Sicherheitslücken in Vorversion

Um sicherzustellen, dass Nutzer das aktuelle Betriebssystem verwenden, verbietet Apple nun das Einspielen von iOS 16.3. Darin gab es aktiv ausgenutzte Lücken.

In Pocket speichern vorlesen Druckansicht 33 Kommentare lesen
iOS 16

(Bild: Apple)

Lesezeit: 2 Min.
Mac & i
Von

Apple nimmt eine in iOS 16.3.1 geschlossene Sicherheitslücke offensichtlich sehr ernst: Der Konzern hat nun, nur kurze Zeit nach dem Release des jüngsten Betriebssystems, die Signierung der Vorversion eingestellt. Praktisch heißt dies, dass ein Einspielen von iOS 16.3 nicht mehr möglich ist, weil die Signaturüberprüfung scheitert. User müssen also mindestens iOS 16.3.1 nutzen.

WebKit-Lücke, die aktiv ausgenutzt wurde

In iOS 16.3.1 kümmerte sich Apple um die Behebung aktiv von Angreifern ausgenutzter Bugs. Diese stecken auch in iPadOS sowie macOS und dessen Safari-Browser. "Die Verarbeitung von in böser Absicht erstellten Web-Inhalten kann zur Ausführung von beliebigem Code führen", schrieb der Konzern dazu. Und weiter: "Apple ist ein Bericht bekannt, wonach dieses Problem aktiv ausgenutzt worden sein könnte."

Solche Fehler sind besonders problematisch, weil es ausreicht, eine schlichte Website zu besuchen oder Website-Inhalte in anderen Programmen anzuzeigen. Details dazu, wer den Exploit einsetzte und an welcher Stelle im Web, verriet Apple bislang allerdings nicht. Die Gefahr war aber anscheinend so groß, dass der Konzern schnell ein Update herausbringen wollte.

Weitere Lücken gestopft

Später wurde bekannt, dass iOS 16.3.1 und iOS 16.3 insgesamt vier weitere Löcher stopfen, zu denen Apple erst verzögert weitere Informationen durchgab. In iOS 16.3.1 ist dies ein Denial-of-Service-Problem im Zusammenhang mit manipulierten Zertifikaten. Das Update behebt außerdem einen Kernel-Bug, der zum Ausführen von beliebigem Code mit Kernel-Rechten verwendet werden konnte – über eine auf der App installierte Anwendung.

iOS 16.3 war am 23. Januar erschienen, iOS 16.3.1 folgte am 13. Februar. Neben den sicherheitsrelevanten Fixes führte Apple unter anderem die Unterstützung von Sicherheitsschlüsseln für die Absicherung der Apple-ID im Betriebssystem ein. Mit dem Ende der Signierung ist auch kein Downgrade auf iOS 16.3 mehr möglich – das dürften die wenigsten Nutzer allerdings wollen. Mit seiner Signierungsmacht kann Apple regelmäßig auch die Möglichkeit von Jailbreaks aushebeln.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: iOS

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten