Aktiver Exploit: iOS, macOS und iPadOS dringend aktualisieren
Apple hat am Karfreitag iOS und iPadOS 16.4.1 sowie macOS 13.3.1 vorgelegt. Es werden Fehler behoben sowie Lücken gestopft, die bereits aktiv ausgenutzt wurden.
(Bild: Erstellt mit Midjourney durch Mac & i)
Apple hat zum Karfreitag wichtige Updates für macOS, iPadOS und iOS publiziert. Nur kurz nach iOS und iPadOS 16.4 sowie macOS 13.3, die erst Ende März erschienen waren, kommen iOS und iPadOS 16.4.1 sowie macOS 13.3.1. Neben Bugfixes stecken in den Aktualisierungen auch Patches für Lücken, die laut Apple-Angaben aktuell schon aktiv ausgenutzt werden (Active Exploit). Entsprechend sinnvoll ist eine schnelle Installation.
Update folgt auf Update
Mit iOS und iPadOS 16.4.1 soll ein Problem, bei dem die Sprachassistentin Siri "in manchen Fällen" nicht antworte, behoben sein. Außerdem fehlte einem Emoji ("Pushing Hands") die Möglichkeit, die Hautfarbe einzustellen. Welche weiteren Verbesserungen in dem Update stecken, teilte Apple nicht mit. Wichtiger sind die in den Aktualisierungen steckenden Sicherheitsfixes.
Diese betreffen das Framework IOSurfaceAccelerator und die Browser-Engine WebKit – bekanntermaßen die einzige, die unter iPadOS und iOS erlaubt ist. Bei IOSurfaceAccelerator kann ein Out-of-bounds-Write-Fehler (CVE-2023-28206) die Ausführung von beliebigem Code mit Kernelprivilegien erlauben, in WebKit steckt wiederum ein Bug (CVE-2023-28205), über den ein Angreifer über eine manipulierte Website ebenfalls beliebigen Code ausführen kann – über ein Use-after-free-Problem. Beide Bugs wurden von der Google Threat Analysis Group sowie dem Security Lab von Amnesty International entdeckt und sollen bereits aktiv ausgenutzt werden – möglicherweise in Spyware.
macOS und Safari
Bei macOS 13.3.1 wurde ebenfalls das genannte Emoji-Problem behoben sowie ein Bug gefixt, bei dem das Entsperren eines Mac per Apple Watch nicht mehr zuverlässig funktionierte. Ob auch weitere vielfach erwähnte Fehler ausgemerzt wurden, die die universelle Steuerung von Mac und iPad sowie SMB-Filesharing und einen Login-Fehler betrafen, blieb zunächst unklar.
Lesen Sie auch
Tipps zu iOS 16.4 & Co: Wie Sie die Neuerungen nutzen
Auch in macOS 13.3.1 werden die aus iOS und iPadOS bekannten Sicherheitslücken in IOSSurfaceAccelerator sowie WebKit gestopft. Für macOS Big Sur (macOS 11) und macOS Monterey (macOS 12) liefert Apple weiterhin Safari 16.4.1 aus, das die WebKit-Lücke stopft. Ob das IOSSurfaceAccelerator-Framework-Problem in diesen macOS-Versionen weiterhin klafft oder dort gar nicht existiert, hat Apple nicht kommuniziert.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)