Mit den jüngsten Aktualisierungen für macOS hat Apple mehrere Sicherheitslücken geschlossen, darunter kritische, die auch Angriffe aus der Ferne (Remote Code Execution) ermöglichen. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat das Risiko entsprechend als "sehr hoch" eingestuft. Mac-Nutzer sollten die Updates umgehend installieren, falls noch nicht geschehen.

Die abgesicherten Versionen des Betriebssystems lassen sich über die in den Systemeinstellungen integrierte Software-Update-Funktion beziehen oder – in älteren Versionen von macOS – über den Mac App Store herunterladen. Ein automatischer Hinweis auf das Update erfolgt unter Umständen erst nach einigen Tagen, entsprechend sollte man manuell prüfen, ob dieses noch installiert werden muss.

Die Updates lassen sich auch auf Apples Webseite beziehen: Der Hersteller liefert die Patches für macOS 10.15 Catalina als Teil von Version 10.15.3 aus. Für macOS 10.14.6 Mojave und macOS 10.13.6 High Sierra steht jeweils ein eigenes Sicherheits-Update 2020-001 zum Download bereit, die Installation wird allen Nutzern empfohlen.

0-Click: Macs per Bluetooth übernehmen

Neben mehreren gravierenden Sicherheitslücken im Kernel, die Apple parallel auch mit iOS 13.3.1 und Updates für seine weiteren Betriebssysteme beseitigt hat, führt Apple bei macOS auch kritische Schwachstellen auf: Ein Fehler in dem privaten Framework AnnotationKit könne es unter macOS Catalina einem entfernten Angreifer möglicherweise erlauben, eine "App zum Absturz zu bringen oder beliebigen Code auszuführen", schreibt das Unternehmen. Wie diese Lücke aus der Ferne ausgenutzt werden kann, bleibt vorerst unklar, Details liegen noch nicht vor.

Apple nennt auch mehrere Schwachstelle in CoreBluetooth, die offenbar nur ungepatchte Versionen von macOS 10.14 Mojave und 10.13 High Sierra betreffen: Auch hierüber sollen entfernte Angreifer in der Lage sein, Schadcode einzuschleusen. Macs lassen sich über Bluetooth aus näherer Umgebung übernehmen, heißt es von den Sicherheitsforschern, die die Lücke an den Hersteller gemeldet haben – die Schwachstelle erfordere keinerlei Interaktion des Nutzers. (lbe)