Zero-Day für Safari geschlossen – Update: Zurückgezogen
Apple hat Montagabend eine schnelle Aktualisierung für seinen Browser ausgespielt. Betroffen von der offenbar bereits ausgenutzten Lücke: Macs und Mobilgeräte.
(Bild: Apple)
Apple hat am Dienstagabend ein Schnellupdate für seine wichtigsten Betriebssysteme veröffentlicht. Verfügbar sind seither iOS 16.5.1 (a) und iPadOS 16.5.1 (a) sowie macOS Ventura 13.4.1 (a). Alle drei Aktualisierungen sind sogenannte Rapid Security Responses (RSR), mit denen Apple hofft, Nutzer schneller zum Updaten zu bringen, da diese weniger lange benötigen als "richtige" Aktualisierungen. Das gilt allerdings aktuell vor allem für iPhone und iPad.
Flottes Update – auf Mobilgeräten
Grund für die Updates ist eine schwerwiegende Sicherheitslücke in Apples Browser-Engine WebKit, die die Basis des hauseigenen Browsers Safari darstellt. Apple zufolge wird dieser Zero-Day-Fehler bereits ausgenutzt. Dabei reicht es offenbar, bestimmte manipulierte Websites aufzurufen, damit ein Angreifer beliebigen Code ausführen kann – allerdings wohl nicht mit Root-Rechten. "Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv ausgenutzt worden sein könnte", so das Unternehmen. Die CVE-ID lautet 2023-37450, der Entdecker möchte laut Apple anonym bleiben.
Weitere Angaben dazu, wo genau es zu Angriffen kam, macht Apple – wie leider üblich – nicht. Gleiches gilt für die technischen Details. Apple schreibt allein, dass der Fehler, der bei der "Verarbeitung von Web-Inhalten" auftritt, durch "verbesserte Überprüfungen" behoben werde. Die Tatsache, dass Apple ein RSR für das Update nutzt, zeigt, dass es sich um ein größeres Problem handelt. Nutzer sollten also möglichst bald aktualisieren.
RSR sind schnell – eigentlich
Auf iPhone und iPad erfüllt Apple den Wunsch des schnelleren Updates tatsächlich – die RSR-Aktualisierung ist, sobald Download und Vorbereitung abgeschlossen sind, in wenigen Minuten auf dem Gerät. Der Grund: Es erfolgt kein kompletter Neustart, auch wenn man einen solchen zu bestätigen hat.
Auf dem Mac unter Ventura (macOS 13) verläuft das Rapid-Security-Response-Update leider unbequemer als unter den früheren Versionen Monterey (macOS 12) und Big Sur (macOS 11). Bei den alten Betriebssystemen wird Safari 16.5.2, das den Fix enthält, nämlich zum sofortigen Download angeboten. Der Vorteil: Während für das RSR ein Neustart notwendig ist, der Zeit kostet (wenn auch etwas weniger als bei "großen" Aktualisierungen), lässt sich das Safari-Update einfach so einspielen. Warum das in diesem Fall nicht einfacher geht – also RSRs stets einen Neustart benötigen, selbst wenn das augenscheinlich gar nicht notwendig ist –, bleibt Apples Geheimnis.
Apple hat die RSR-Updates für Mac, iPhone und iPad mittlerweile zurückgezogen. Grund ist offenbar, dass es verschiedene Websites gab, die nach dem Update Warnmeldungen ausspucken, dass der aktualisierte Safari-Browser "nicht mehr" unterstützt werde. Apple hat im User-Agent-String ein "(a)" untergebracht, was diesen Fehler wohl verursacht. Betroffen sind Nutzerberichten zufolge nicht nur Websites, sondern auch Apps wie Instagram, Zoom oder Facebook.
Wann Apple ein neues Update herausbringt, ist unklar. Wer die RSR-Aktualisierung wieder löschen möchte, kann das glücklicherweise sehr schnell: In den Systemeinstellungen unter "Allgemein" und "Info" klickt man dafür bei iPhone und iPad auf das Update (beim Mac auf das kleine "i") und erhält dann die Möglichkeit, es rückgängig zu machen. Allerdings verliert man damit natürlich auch die Absicherung durch den Patch.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)