Menü

Update nachgereicht: Apple stopft schwere Lücke in Betriebssystemen

Offenbar sind ausnutzbare Lücken vorhanden, die nur in den allerneuesten Versionen gestopft sind. Apples Informationspolitik lässt zu wünschen übrig.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 222 Beiträge

Eine Tastatur (als Hack-Symbolbild).

(Bild: ElRoi / Shutterstock.com)

Von

Apple hat in der Nacht zum Freitag Updates für die wichtigsten Betriebssysteme des Konzerns vorgelegt. Sie stopfen laut Angaben des Unternehmens eine problematische Sicherheitslücke. Betroffen sind jeweils Geräte, die noch ältere Varianten der Software verwenden. In iOS 13.1 und watchOS 6 sind die Fixes offenbar schon implementiert.

Für Geräte, auf denen iOS 13(.1) nicht läuft, steht iOS 12.4.2 bereit – das sind iPhone 5s, 6, 6 Plus, iPad Air, iPad mini 2, iPad mini 3 und iPad touch 6G. watchOS 5.3.2 ist für watchOS Series 1 und 2 gedacht, auf denen watchOS 6 nicht mehr installiert werden kann. Für den Mac gibt es macOS Mojave 10.14.6 Supplemental Update 2, Security Update 2019-005 High Sierra (10.13) sowie Security Update 2019-005 Sierra (10.12). In macOS 10.15 alias Catalina, das Anfang Oktober erscheinen soll, dürfte die Lücke bereits behoben sein. Weiterhin ist Safari 13.0.1 verfügbar. Darin werden ein Interface-Spoofing-Problem und ein Bug, der potenziell das Auslesen der Browserhistorie erlaubte, behoben.

In allen drei Betriebssystemen geht es um eine Lücke in der zentralen Systembibliothek Foundation. Ein Out-of-Bounds-Read-Bug sorgt hier dafür, dass ein Angreifer einen Absturz einer App samt beliebiger Code-Ausführung provozieren kann. Dies sei auch aus der Ferne möglich, heißt es. Den Bug an Apple gemeldet haben erneut Sicherheitsforscher von Googles Project Zero – diese hatten auch kürzlich einen problematischen iPhone-Massenhack aufgedeckt.

Es ist aktuell unklar, ob für das gestopfte Foundation-Loch bereits ein Exploit existiert und ob, falls ja, dieser "in the wild" ist, also ausgenutzt wird. Dazu dürften hoffentlich in den kommenden Tagen genauere Angaben folgen. Apples Informationspolitik in Sachen Sicherheitslücken lässt aktuell zu wünschen übrig. So hat der Konzern noch immer keine vollständige Liste der gestopften Löcher in iOS 13(.1), iPadOS 13, watchOS 6 und tvOS 13 veröffentlicht. Am Freitagabend wurden hier zumindest weitere Teilangaben publiziert, die allerdings unvollständig sind (iOS 13.1 / iPadOS 13, iOS 13, tvOS 13, watchOS 6). Auch sicherheitsrelevante Angaben zu Xcode 11 liegen nun vor.

Apple neigt seit kurzem dazu, in seinen Sicherheitsangaben die Hinweisgeber von Lücken in bestimmten Bereichen zu nennen, dann aber keine näheren Angaben zu machen, wie diese Probleme konkret aussehen. Dass macht eine Beurteilung der Schwere äußerst schwierig; warum der Konzern so vorgeht, ist bislang unklar. Sind Löcher gestopft, müssten sie auch genannt werden können.

(bsc)