iOS 15, macOS 11 und 12: Apple schiebt Notfallfix nach
Nachdem iOS 16 und macOS 13 bereits voll gepatcht worden waren, legt Apple auch einen Fix für eine bereits ausgenutzte Lücke für ältere Betriebssysteme nach.
(Bild: nikkimeel/Shutterstock.com)
Mehrere Tage nach einem Update höchster Dringlichkeit für aktuelle Betriebssystemversionen hat Apple nun auch Patches für einen aktiv ausgenutzten Exploit für ältere macOS- und iOS-Varianten nachgeliefert. Seit Ostermontag stehen iOS und iPadOS 15.7.5, macOS 11.7.6 und macOS 12.6.5 zum Download bereit. Sie sollten möglichst schnell eingespielt werden.
Lücke zunächst nur teilweise gestopft
Damit bestätigt sich, was Beobachter bereits vermutet hatten: Ein Update auf Safari 16.4.1, das Apple am Karfreitag für macOS 11 (Big Sur) und 12 (Monterey) ausgerollt hatte, reicht nicht aus, um ein Exploit-Problem zu beheben. Mit der neuen Version seines Browsers hatte Apple einen Use-after-free-Fehler behoben, der es erlaubte, über eine manipulierte Website beliebigen Code auszuführen. (Welche genau das waren, wurde nicht genannt.)
Ein anderer Bug im Framework IOSurfaceAccelerator, der sogar das Ausführen böswilliger Programme mit Kernel-Rechten erlaubte, blieb in Big Sur und Monterey jedoch zunächst ungepatcht. Diese Fehlerbehebung steckt nun erst in macOS 11.7.6 und macOS 12.6.5. Warum Apple hierfür mehrere Tage zusätzlich benötigte, ist unbekannt. Beide Fehler mit den CVE-IDs CVE-2023-28206 (IOSurfaceAccelerator) und CVE-2023-28205 (WebKit) sind kritisch und werden laut Apple von einer bislang ungenannten Partei bereits öffentlich ausgenutzt. Entdeckt wurden beide Bugs von Googles Sicherheitsteam Threat Analysis Group (TAG) und dem Security Lab von Amnesty International. Dies könnte darauf hindeuten, dass die Exploits aus dem Spyware-Umfeld kommen.
Ältere iPhones und iPads abgesichert
Mit iOS und iPadOS 15.7.5 hat Apple außerdem auch iPhone- und iPad-Modelle mit einem Patch für beide Lücken versorgt, die iOS 16 beziehungsweise iPadOS 16 aktuell nicht nutzen können. Apple hatte sich verpflichtet, auch diese Versionen noch etwas länger zu pflegen, auch wenn entsprechende Updates oftmals erst später ausgeliefert werden und auch nicht den vollen Patch-Umfang der jeweils aktuellen Varianten von iOS und iPadOS erhalten.
Für alle Updates gilt, dass man sie möglichst schnell einspielen sollte. Bis auf die gestopften Sicherheitslücken gibt es keine Änderungen bei den Funktionen – zumindest nennt Apple diese offiziell nicht. Mit macOS 13.3.1 und iOS und iPadOS 16.4.1 hatte Apple noch mehrere weitere Fehler behoben.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
