computerwoche.de

Mobile & Apps

Zwei Sicherheitslücken geschlossen

iOS 16.4.1 und macOS 13.3.1 stehen bereit

11.04.2023
Von 
Halyna Kubiv ist Content Managerin bei der Macwelt.
Alle Posts des Autors Email: Connect:
Am Karfreitag hat Apple Updates für iOS und macOS bereitgestellt - ein Zeichen dafür, wie dringlich diese Aktualisierungen sind.
Wegen Sicherheitslücken brauchen Mac und iPhone dringend ein Update.
Wegen Sicherheitslücken brauchen Mac und iPhone dringend ein Update.
Foto: nikkimeel - shutterstock.com

Apple hat am Karfreitag drei Betriebssystem-Updates veröffentlicht, nämlich iOS 16.4.1, macOS Ventura 13.3.1 und Safari 16.4.1 (für macOS Big Sur und macOS Monterey). In den Veröffentlichungsnotizen für iOS 16.4.1 behebt der Hersteller den Fehler, dass Siri manchmal nicht auf Anfragen reagiert hat, und fügt eine Hautfarben-Auswahl für das neue Emoji mit den schiebenden Händen hinzu. Obwohl der Karfreitag kein Feiertag in den USA ist, ist es ungewöhnlich, dass Apple an diesem Tag wichtige System-Updates veröffentlicht, da Entwickler im Zweifelsfall am Wochenende darauf reagieren müssen, falls etwas schiefgeht.

Zwei Sicherheitslücken geschlossen

Offenbar war Apple jedoch gezwungen, ein dringendes Update für seine betroffenen Systeme zu veröffentlichen, da in iOS, macOS und Safari zwei Lücken geschlossen wurden, die bereits für Angriffe genutzt wurden. Besonders besorgniserregend ist eine Lücke in Webkit, der Rendering-Engine von Apple, die für die Darstellung von Webseiten in vielen Apps, nicht nur in Safari und anderen Browsern, verantwortlich ist.

Diese Lücke ermöglicht es präparierten Seiten, beliebigen Code auf betroffenen Geräten auszuführen und wurde bereits für Angriffe gegen Nutzer genutzt. Der zweite vergleichbare Fehler wurde im Swift-Framework IOSurfaceGenerator entdeckt und ermöglicht es einem manipulierten Code in einer App, Code auf dem Kernel auszuführen, der tiefsten Ebene des iOS, die bereits an die Hardware angedockt ist und alles andere im Betriebssystem kontrolliert.

Pegasus-Forscher als einer der Entdecker gelistet

Bezeichnend sind auch die Entdecker der beiden Bugs. Während Google's Threat Analysis Group ein alter Bekannter bei den Securty-Updates von Apple ist, findet sich der Name von Donncha Ó Cearbhail von Amnesty International zum ersten Mal bei den Bug-Findern. Der Wahl-Berliner Cearbhail war lange Zeit an den Forschungen zu der Hacking-Software Pegasus beteiligt.

Wir empfehlen es allen Nutzern und Nutzerinnen, das Update auf iOS 16.4.1, macOS 13.3.1 und Safari 16.4.1 so schnell wie möglich zu installieren. Die entdeckten Lücken sind im freien Umlauf und betreffen Webkit, sowie den Kernel. Mit einem präparierten Link wäre die Übernahme des Geräts durch die Angreifer denkbar. (Macwelt)