Nach Wochen: Apple fixt aktiv ausgenutzte Lücke auf alten iPhones
iOS 12.5.6 soll neben älteren iPhones auch ältere iPads abdichten. Der Fehler steckt in der Browser-Engine.
Das iPhone 5s war auch betroffen.
(Bild: dpa, Ole Spata)
Sicherheitsexperten hatten es bereits befürchtet: Ein Fehler, den Apple Mitte des Monats in seinen aktuellen Mobilbetriebssystemen ausgemerzt hatte, steckt auch in älteren iOS-Versionen und wird womöglich aktiv von Angreifern ausgenutzt. Erst in der Nacht zum Donnerstag erschien nun auch ein Update für ältere iPhones und iPads.
Noch immer wenig bekannt
Der Bug trägt die CVE-ID 2022-32893 und betrifft Apples Browser-Engine WebKit. Es handelt sich um ein sogenanntes Out-of-bounds-Write-Problem, das aufgrund mangelhaftem Bounds Checking auftrat. In der Praxis war es darüber möglich, über eine entsprechend angepasste Website beliebigen Code auszuführen. Es reicht also, auf eine solche URL zu klicken oder sie mit dem Browser nur zufällig zu besuchen. Dabei ist egal, ob man auf seinem iPhone oder iPad Safari, Chrome oder Firefox benutzt – Apple zwingt auf diesen Plattformen alle Browser-Anbieter, WebKit zu verwenden.
Im Beipackzettel zum nun frisch veröffentlichten iOS 12.5.6, das Kunden mit den versorgten Geräten dringend einspielen sollten, wiederholt Apple seine Warnung, dass man Berichte über aktive Exploits habe. Doch noch immer ist nicht klar, um welche Angriffe es sich hier konkret handelt, ob es einfach nur Kriminelle, staatliche Spione oder Vertreiber von Spyware sind, die die Lücke ausnutzen.
Welche Geräte das Update kriegen
iOS 12.5.6 steht für all jene Geräte bereit, die kein höheres iOS vertragen. Auf neueren Modellen sind iOS 15.6.1 und iPadOS 15.6.1 aktuell, die den Patch bereits vor Wochen erhalten haben. Nun nachträglich versorgt werden iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3, und der iPod touch der sechsten Generation (6G). Immerhin: Ein zweiter gefährlicher Fehler, den Apple ebenfalls Mitte August behob, ist in iOS 12 nicht ausnutzbar. Dieser Kernel-Bug mit der CVE-ID 2022-32894 betreffe das System nicht, so Apple ebenfalls im Beipackzettel. Er erlaubte – erneut via Out-of-bounds-Write – sogar die Ausführung beliebigen Codes mit Kernel-Privilegien. Auch hier liegen Apple Berichte zur aktiven Ausnutzung vor.
Vom WebKit-Bug ebenfalls betroffen waren die älteren macOS-Versionen Big Sur und Catalina. Diese erhielten aber bereits ein Update für den Safari-Browser auf Version 15.6.1. Zusammen mit iOS 15.6.1 und iPadOS 15.6.1 war macOS Monterey auf Version 12.5.1 gebracht worden, das Kernel-Bug wie WebKit-Fehler behob.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)