Aktive Angriffe auf iPhones, iPads und Macs: Was Nutzer jetzt tun sollten

Erneut warnt Apple vor schweren SicherheitslĂĽcken, die wohl aktiv ausgenutzt werden. Es gibt Patches, aber nicht fĂĽr alle Systeme und Bugs. Ein Ăśberblick.

In Pocket speichern vorlesen Druckansicht 297 Kommentare lesen

(Bild: WDnet Creation/Shutterstock.com)

Update
Lesezeit: 5 Min.
Inhaltsverzeichnis

Apple hat Updates veröffentlicht, um zwei Schwachstellen in seinen Betriebssystemen zu schließen. Das Unternehmen kenne Berichte, dass die Lücken aktiv ausgenutzt werden, hieß es schon in der Nacht auf Donnerstag. Seitdem steht auch eine neue, abgesicherte Version von iOS 15, iPadOS 15 sowie macOS 12 Monterey zum Download bereit. Inzwischen schob Apple außerdem einen Safari-Patch für die älteren macOS-Versionen 11 Big Sur und 10.15 Catalina nach.

Nach Angabe des Herstellers gibt es eine Schwachstelle in der Browser-Engine WebKit, die das Einschleusen und Ausführen von Schadcode ermöglicht – allein durch Aufruf einer manipulierten Webseite. WebKit steckt nicht nur im Browser Safari, sondern kommt an vielen Stellen des Betriebssystems zum Einsatz, um Web-Inhalte anzuzeigen.

Zudem besteht eine Lücke im Kernel der Betriebssysteme, die es Apps ermöglicht, beliebigen Code mit Kernel-Rechten auszuführen. Es ist zu vermuten, dass die Schwachstellen als Kombination zum Einsatz kommen: So könnte der Code über die WebKit-Lücke eingeschleust und dann mit Kernel-Rechten ausgeführt werden, um so die Kontrolle über iPhone, iPad oder Mac aus der Ferne zu übernehmen.

Laut Apple fußen die beiden als CVE-2022-32893 und CVE-2022-32894 geführten Bugs auf einem „Out-of-bounds write“-Problem. Software ist also in der Lage, außerhalb des zugewiesenen Speichers zu schreiben. Das sei mit den Updates durch besseres Bound-Checking behoben worden, erläutert der Hersteller. Die Fehler haben angeblich anonyme Sicherheitsforscher an das Unternehmen gemeldet. Weitere Details wurden nicht genannt.

Falls nicht schon geschehen, sollten iPhone-, iPad- und Mac-Nutzer die Updates über die integrierte Software-Aktualisierung sofort herunterladen und manuell einspielen. In den iOS- und iPadOS-Einstellungen ist die Funktion unter „Allgemein“ im Bereich „Softwareupdate“ zu finden, dort stehen iOS 15.6.1 und iPadOS 15.6.1 zum Download bereit. Mac-Nutzer erhalten das Update auf macOS 12.5.1 in den Systemeinstellungen unter „Softwareupdate“. In macOS 11 und macOS 10.15 erscheint dort Safari 15.6.1.

Auch wer die automatischen Updates aktiviert hat, sollte die neuen Versionen lieber manuell laden. Apples Update-Automatik lässt sich gewöhnlich Zeit, die Patches erfolgen dann erst nach mehreren Tagen bis Wochen.

Für ältere iOS- und iPadOS-Versionen hat Apple bislang keine Updates veröffentlicht. Nutzer von iOS/iPadOS 13 und 14 können auf iOS 15 aktualisieren, um weiterhin solche wichtigen Sicherheits-Updates zu beziehen. Die beiden älteren Betriebssystemversionen erhalten offensichtlich keine Patches mehr. Für iOS 12 gibt es ebenfalls kein Update, Besitzer von iPhone 6 und 5s können auch nicht auf eine neuere Version aktualisieren.

Update

Für iOS 12 hat Apple mit neuer Version 12.5.6 nun einen Patch für Geräte wie das iPhone 6 nachgeliefert, die nicht mehr auf iOS 15 aktualisieren können. Für iOS 13 und iOS 14 wird es wohl kein Bugfix mehr geben, dort sollte das Update auf iOS 15 eingespielt werden. Laut Apple ist iOS 12 nur von dem WebKit- aber nicht dem Kernel-Bug betroffen, der in aktuellen Versionen der Betriebssysteme gestopft wurde. In macOS 11 und macOS 10.15 gibt es weiterhin keinen Patch für die Kernel-Schwachstelle, die eingeschleuster Software offenbar das Erlangen von Root-Rechten ermöglicht. Dort gibt es bislang keinen Hinweis des Herstellers, dass die Schwachstelle in den älteren macOS-Versionen nicht zu finden ist.

Laut Apple werden knapp 20 Prozent der aktiven iPhones immer noch mit einer älteren Version als iOS 15 betrieben, ebenso wie fast 30 Prozent der iPads (Stand Ende Mai 2022). Es ist zwar zu vermuten, dass die älteren Versionen der Betriebssysteme ebenfalls von den Schwachstellen betroffen sind, bestätigt wurde das bislang aber nicht.

Unklar ist auch, ob die jĂĽngste Beta von iOS 16, iPadOS 16 und macOS 13 betroffen ist.

In macOS 11 Big Sur und macOS 10.15 Catalina beseitigt der von Apple veröffentlichte Safari-Patch nur die WebKit-Schwachstelle und damit wohl das Einfallstor. Ein Fix für den Kernel-Bug liegt für die älteren macOS-Versionen nicht vor. Ob sie davon betroffen sind, ist unklar. Auf Nachfrage verwies Apple lediglich auf die Sicherheits-Support-Seite.

Ungewöhnlich ist all das nicht: Mit fast jedem Update beseitigt Apple Lücken in WebKit, die das Ausführen von Schadcode ermöglichen. Es ist außerdem schon das vierte Mal im laufenden Jahr, dass Apple bei der Veröffentlichung von Sicherheits-Patches vor aktiven Angriffen warnt. Besonders die nun außer der Reihe veröffentlichten Updates deuten an, dass Apple die Lücken als gravierend erachtet.

iPhone- und iPad-Nutzer können praktisch nicht viel mehr machen, als ihre Geräte auf dem neuesten Software-Stand zu halten. WebKit kommt in iOS als Engine für alle Browser zum Einsatz, die Verwendung eines anderen Browsers als Safari hilft in dieser Hinsicht also nicht weiter. Von Apple gibt es bislang kein konkretes Update-Versprechen für ältere Betriebssystemversionen, vereinzelt werden noch Patches bereitgestellt. Inwiefern iOS 15 nach der im wohl September folgenden Veröffentlichung von iOS 16 noch weitere Sicherheits-Updates erhält, bleibt abzuwarten.

Für die beiden der aktuellen Version vorausgehenden macOS-Versionen liefert Apple gewöhnlich zwar noch Sicherheits-Updates, dabei wurden in der Vergangenheit aber auch nicht alle Schwachstellen behoben.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)