macOS High Sierra: Apple stopft Sicherheitslücken
Mit dem Update werden über 20 Sicherheitsfixes mitgeliefert. macOS 10.12 und 10.11 wurden bislang aber noch nicht bedacht. Zusätzlich informiert Apple nun über weitere gestopfte Lücken in anderen Softwareprodukten des Konzerns – verspätet.
(Bild: dpa, Ralf Hirschberger/dpa-Zentralbild/dpa)
Apple hat die gestrige Einführung von macOS 10.13 alias High Sierra genutzt, um eine ganze Reihe von Sicherheitslücken im Mac-Betriebssystem zu stopfen. Wie das Unternehmen auf seiner Supportwebsite aufführt, wurden Security-Probleme in insgesamt 22 Systembereichen behoben.
Bugs, Bugs und noch mehr Bugs
Bugs steckten demnach unter anderem in der Anwendungsfirewall, die sich teilweise aushebeln ließ, die AppSandbox könnte für Denial-of-Service-Angriffe verwendet werden und ein Fehler in CoreAudio erlaubte den Zugriff auf eigentlich abgeschottete Speicherbereiche. Wollte man sich mit einem offenen WLAN über ein Captive Portal verbinden, konnte es vorkommen, dass Passwörter unverschlüsselt über die Leitung gingen. Denial-of-Service-Attacken wären auch über das CFNetwork-Proxies-Framework möglich gewesen. Die iOFireWireFamily-Treiber ließen sich zum Ausführen beliebigen Codes missbrauchen.
Code mit Kernel-Privilegien ausführbar
Die Open-Source-Bibliotheken libexpat, libc, SQLite, zlib und ntp wurden ebenfalls um Fehler bereinigt. Bugs steckten auch in Mail und Mail Drafts – bei Mail Drafts konnte ein Angreifer im lokalen Netzwerk sogar eigentlich verschlüsselte Mails mitlesen. In Mail arbeitete wiederum der Filter, der verhindern soll, dass Bilder nachgeladen werden, nicht immer effektiv. Schließlich hat Apple auch einen Kernel-Bug gefixt, der es Anwendungen erlaubte, Code mit Kernel-Privilegien auszuführen.
Sierra und El Capitan nicht angefasst
Neben macOS 10.13 wurden am Montag keine Sicherheitsaktualisierungen für frühere macOS-Versionen wie 10.12 (Sierra) oder 10.11 (El Capitan) veröffentlicht. Entsprechend scheint Apple darauf zu setzen, dass die Nutzerschaft auf High Sierra aktualisiert, um die Sicherheitslücken zu schließen – was allerdings viele Anwender zunächst wegen Kompatibilitätsproblemen diverser Apps nicht machen dürften. Eventuell legt Apple aber auch noch Patches nach.
Apple liefert Details zu älteren Fixes
Unterdessen hat der Konzern weitere Sicherheitshinweise für andere Softwareprodukte veröffentlicht, die das Unternehmen zunächst nicht kommuniziert hatte. Es handelt sich um Sicherheitslücken in iOS 11, Safari 11, watchOS 4 und tvOS 11 – teilweise sind sie schwerwiegend. In iTunes 12.7 wurde darüber hinaus ein Problem behoben, bei dem Drittanwendungen an iOS-Backups gelangen konnten. Es ist unklar, warum Apple die Informationen erst in dieser Woche publiziert – die Updates waren bereits am 19. September erschienen. (bsc)
