Mit dem jüngsten Update-Reigen beseitigt Apple mehrere kritische Schwachstellen in seinen Betriebssystemen, die entfernten Angreifern das Einschleusen von Schadcode erlauben. Nutzer sollten die in der Nacht auf Freitag bereitgestellten Updates für iOS, iPadOS, macOS, watchOS und tvOS möglichst umgehend installieren.

Gezielte Angriffe auf Apple-Nutzer

Das Sicherheitsrisiko scheint nicht rein theoretisch: Mindestens drei der Lücken werden aktiv für Angriffe auf Apple-Geräte eingesetzt, betonen Google-Sicherheitsforscher, die die Bugs entdeckt und an den Hersteller gemeldet haben. Eine Schwachstelle im FontParser sowie zwei Lücken im Kernel können das Ausführen von Schadcode mit Kernel-Rechten ermöglichen, räumt Apple in einem Sicherheitshinweis zu den Updates ein. Man kenne "Berichte, dass es einen Exploit für dieses Problem in freier Wildbahn gibt", so der Hersteller, weitere Informationen wurden bislang nicht genannt.

Die Schwachstellen würden für gezielte Angriffe eingesetzt, teilte der Google-Sicherheitsforscher Shane Huntley nur mit und betonte zugleich, es handle sich dabei nicht um Angriffe rund um die US-Präsidentschaftswahl. Für den hauseigenen Web-Browser Chrome hat Google jüngst schon wichtige Sicherheits-Updates veröffentlicht, auch dort wurde von einer aktiven Ausnutzung der Lücken gesprochen – die Angriffe seien ähnlich, so Huntley. Ob die Angriffe nur auf iPhones abzielen und auf welche Weise Code eingeschleust wird, bleibt ebenso offen wie die Größenordnung.

Die drei von Google gefundenen Schwachstellen hat Apple nicht nur in aktuellen Betriebssystemversionen beseitigt, sondern auch in älteren Versionen: Neben iOS und iPadOS 14.2 steht seit Donnerstagabend auch iOS 12.4.9 zum Download bereit. Ein Sicherheits-Update für iOS 13 liegt allerdings nicht vor, obwohl die Lücken dort vermutlich ebenfalls vorhanden sind – Nutzer von iOS 13 sollten deshalb die Installation von iOS 14.2 erwägen. Alle Geräte, auf denen iOS 13 läuft, können auch iOS 14 installieren.

Für watchOS liefert Apple gleich Sicherheits-Updates für drei verschiedene Versionen aus: Neben watchOS 7.1 liegt auch watchOS 6.2.9 (nur für Apple Watch Series 1 und 2) sowie watchOS 5.3.9 (für Apple-Watch-Nutzer, die noch ein iPhone mit iOS 12 verwenden) vor. Für Apple TV 4K und HD (4. Generation) steht tvOS 14.2 zum Download bereit, für den alten Apple TV 3 liegt Nutzerberichten ebenfalls ein Update vor.

Für macOS gibt es im Moment nur ein ergänzendes Update für macOS 10.15.7 Catalina, das ebenso die drei kritischen Schwachstellen behebt. Ob noch Sicherheits-Updates für macOS 10.14 Mojave und 10.13 High Sierra folgen, bleibt unklar. (lbe)