OS X El Capitan: Warten auf das große Sicherheitsupdate

macOS Sierra steht seit dem 20. September zum Download bereit. Das auch unter der Versionsnummer 10.12 bekannte Betriebssystem enthält Fixes für fast 70 Sicherheitsprobleme, weshalb sich allein deshalb schon eine schnelle Installation lohnen sollte.

Wer allerdings nicht auf Sierra aktualisieren möchte oder das schlicht nicht kann, weil seine Hard- oder Software nicht kompatibel ist, wird von Apple derzeit im Regen stehen gelassen: Für den Vorgänger OS X 10.11 El Capitan gibt es auch fast drei Wochen später kein Security Update.

Fast drei Wochen ohne Update

Warum Apple so vorgeht und seine Nutzer potenziellen Angriffen aussetzt, bleibt im Dunkeln. Frühere große Betriebssystemaktualisierungen gingen üblicherweise mit Security Updates für ältere Versionen einher. Apple pflegt regulär mindestens das aktuelle und das letzte Mac-Betriebssystem; nicht selten auch dessen Vorversion (in diesem Fall OS X 10.10 Yosemite).

Die mit macOS Sierra behobenen Sicherheitsprobleme stecken laut Apples Security-Website allesamt in OS X 10.11.6, der letzten Version von El Capitan. 68 Schwachstellen nennt der Hersteller dort, die das Update beseitigen soll, darunter kritische Lücken: Eine Audio-Schwachstelle könne einem entfernten Angreifer ermöglichen, Schadcode einzuschleusen und auszuführen.

Schadcode mit Kernel-Rechten

Mehrere Bugs machen es außerdem möglich, dass Programme Schadcode mit Kernel-Rechten starten – und manipulierter Software so erweiterte Rechte einräumen. Allein sechzehn Schwachstellen führt Apple im Modul “apache_mod_php” von OS X 10.11.6 El Capitan auf, diese seien durch Aktualisierung von PHP auf Version 5.6.24 beseitigt.

Gefährlich sind die fehlenden Sicherheitsupdates auch dadurch, dass Apple die Lücken (wenn auch nur teilweise im Detail) dokumentiert, ohne Patches bereitzustellen – ein ungewöhnliches Vorgehen. Malware-Entwickler können so leichter Exploits zusammenbauen. (bsc)