Zero-Day-Lücken: Ältere macOS- und iOS-Versionen weiter angreifbar
(Bild: Alberto Garcia Guillen/Shutterstock.com)
Aktiv ausgenutzte Lücken hat Apple nur in iOS 15 und macOS 12 gestopft. Sicherheitsforschern zufolge sind aber auch ältere Betriebssystemversionen verwundbar.
Für ältere Versionen der Apple-Betriebssysteme fehlen weiterhin wichtige Bugfixes zur Beseitigung zweier Zero-Day-Lücken, die nach Angabe des Herstellers aktiv für Angriffe ausgenutzt werden. Eine knappe Woche nach der Freigabe von iOS 15.4.1 und macOS 12.3.1 [1] hat Apple bislang noch keine Patches für macOS 11 Big Sur, macOS 10.15 Catalina sowie iOS 14 bereitgestellt – obwohl diese Versionen verwundbar sind, wie Sicherheitsforscher warnen.
AppleAVD-Lücke auch in macOS 11 und iOS 14
Die Schwachstelle in der AppleAVD-Komponente besteht auch in macOS 11 Big Sur auf Macs mit M1-Chips, wie die Sicherheitsfirma Intego betont [2] und damit vorausgehende Berichte von Sicherheitsforschern bestätigt, die Apples Patch „reverse engineered“ haben. Parallel sei darüber auch iOS und iPadOS 14 angreifbar. Nach Apples Beschreibung ist es einer App durch die Lücke möglich, Schadcode mit Kernel-Rechten auszuführen, damit lässt sich ein Gerät gewöhnlich komplett übernehmen.
Für iOS 14 scheint Apple keine weiteren Sicherheits-Updates mehr auszuliefern [3], hat bislang aber nicht konkret festgehalten, für welche älteren iOS-Versionen noch Sicherheits-Fixes bereitgestellt werden sollen.
Lücken bleiben in älteren Systemversionen offen
Es sei zudem wahrscheinlich, dass auch die zweite ausgenutzte Sicherheitslücke in Intel-Grafiktreibern sowohl in macOS 11 Big Sur als auch macOS 10.15 Catalina offensteht, schreibt Intego, derzeit werde noch geforscht, ob sich die vorausgehenden Systemversionen tatsächlich darüber angreifen lassen. Intego schätzt, dass mehr als die Hälfte der aktiv genutzten Macs noch eine ältere Betriebssystemversion als das im Herbst 2021 veröffentlichte macOS 12 einsetzt.
Ob Apple noch Sicherheits-Updates für die älteren Versionen nachliefert, bleibt offen. Gewöhnlich patcht der Hersteller stets die beiden vorausgehenden Versionen von macOS weiterhin, eine Garantie oder ein klares Versprechen dafür gibt es aber nicht. Auch scheinen in älteren Versionen des Betriebssystems längst nicht alle Schwachstellen ausgemerzt zu werden – das wird seit längerem kritisiert und wurde in der Vergangenheit bereits für gezielte Malware-Angriffe auf Mac-Nutzer ausgenutzt [4].
- Wie Sie macOS 12 auf älteren, nicht mehr offiziell unterstützten Macs installieren [5], lesen Sie in Mac & i 2/22 [6].
[7]Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung [8].
(lbe [9])
URL dieses Artikels:
https://www.heise.de/-6664730
Links in diesem Artikel:
[1] https://www.heise.de/news/iOS-15-4-1-und-macOS-12-3-1-Apple-geht-Akku-und-Display-Probleme-an-6659375.html
[2] https://www.intego.com/mac-security-blog/apple-neglects-to-patch-zero-day-wild-vulnerabilities-for-macos-big-sur-catalina/
[3] https://www.heise.de/news/Ade-iOS-14-Apple-hat-Sicherheits-Support-offenbar-laengst-eingestellt-6333447.html
[4] https://www.heise.de/news/Offene-Luecke-in-aelteren-Systemen-Apples-Patch-Strategie-macht-Nutzer-verwundbar-6270275.html
[5] https://www.heise.de/select/mac-and-i/2022/2/2134912522376148882
[6] https://www.heise.de/select/mac-and-i/2022/2
[7] https://www.heise.de/mac-and-i/
[8] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[9] mailto:lbe@heise.de
Copyright © 2022 Heise Medien