iOS 17.1.2, iPadOS 17.1.2 und macOS 14.1.2: Sicherheitsupdates und Bugfixes
Apple hat in der Nacht zum Freitag erneut Updates für seine Hauptbetriebssysteme vorgelegt. Außerdem gibt es eine Safari-Aktualisierung.
(Bild: Apple)
Apple hat weitere Updates für iOS und iPadOS 17 sowie macOS 14 nachgeschoben. Bei den neuen Versionen handelt es sich um reine Bugfix-Updates, die allerdings auch Sicherheitslücken stopfen – darunter solche, die laut Angaben des Herstellers bereits von Angreifern ausgenutzt wurden.
Vier Updates an einem Abend
iOS 17.1.2 und iPadOS 17.1.2 sowie macOS 14.1.2 stehen seit der Nacht zum Freitag zum Download bereit – zu finden jeweils über die Systemeinstellungen. Außerdem wurde Safari 17.1.2 publiziert, ebenfalls mit Security Fixes. Der Browser ist Bestandteil von macOS 14.1.2, steht für macOS 12 und 13 (Monterey und Ventura) aber auch als Einzeldownload zur Verfügung. macOS 11 (Big Sur) erhält nun keine Safari-Updates mehr.
Angaben zu den konkreten Fehlerbehebungen in den vier Updates macht Apple nicht. Es heißt nur, sie enthielten "wichtige Bugfixes und Security-Updates" und seien für alle Nutzer empfohlen. Nähere Angaben zu den sicherheitsrelevanten Bestandteilen macht der iPhone-Konzern dann aber doch. Nicht aktualisiert wurden tvOS 17, watchOS 10 und das HomePod OS, da diesen jeweils der Safari-Browser fehlt.
Gefixte Sicherheitslücken
Alle vier Updates beheben laut Apple jeweils zwei WebKit-Bugs. Diese hören auf die CVE-IDs 2023-42916 und 2023-42917 und wurden von Clément Lecigne aus Googles Threat Analysis Group (TAG) an Apple gemeldet. Fehler eins betrifft ein Out-of-Bounds-Read-Problem, das über eine verbesserte Input-Validierung behoben wurde. Fehler zwei ist eine Memory Corruption, hiergegen geht Apple mit verbessertem Locking vor.
Während der Out-of-Bounds-Read-Bug zur Offenlegung sensibler Daten verwendet werden kann, lässt sich das Speicherproblem zum Ausführen beliebigen Codes (wenn auch offenbar nicht mit Root-Rechten) nutzen. Für beide Bugs sind Apple Exploits bekannt. Diese seien gegen iOS-Versionen vor 16.7.1 gerichtet gewesen. Aktuell ist dort als letzte Version iOS 16.7.2 aus dem Oktober verfügbar – ein weiteres Update für iOS 16 hat Apple bislang nicht vorgelegt. Angaben dazu, von wem der Exploit stammt und wie verbreitet die Angriffe sind/waren, machte Apple nicht – das ist man allerdings leider gewohnt. Es könnte sich einmal mehr um einen staatlichen Akteur handeln.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
