Apple hat am Dienstagabend ein Schnellupdate für seine wichtigsten Betriebssysteme veröffentlicht. Verfügbar sind seither iOS 16.5.1 (a) und iPadOS 16.5.1 (a) sowie macOS Ventura 13.4.1 (a). Alle drei Aktualisierungen sind sogenannte Rapid Security Responses (RSR), mit denen Apple hofft, Nutzer schneller zum Updaten zu bringen, da diese weniger lange benötigen als "richtige" Aktualisierungen. Das gilt allerdings aktuell vor allem für iPhone und iPad.

Grund für die Updates ist eine schwerwiegende Sicherheitslücke in Apples Browser-Engine WebKit, die die Basis des hauseigenen Browsers Safari darstellt. Apple zufolge wird dieser Zero-Day-Fehler bereits ausgenutzt. Dabei reicht es offenbar, bestimmte manipulierte Websites aufzurufen, damit ein Angreifer beliebigen Code ausführen kann – allerdings wohl nicht mit Root-Rechten. "Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv ausgenutzt worden sein könnte", so das Unternehmen. Die CVE-ID lautet 2023-37450, der Entdecker möchte laut Apple anonym bleiben.

Weitere Angaben dazu, wo genau es zu Angriffen kam, macht Apple – wie leider üblich – nicht. Gleiches gilt für die technischen Details. Apple schreibt allein, dass der Fehler, der bei der "Verarbeitung von Web-Inhalten" auftritt, durch "verbesserte Überprüfungen" behoben werde. Die Tatsache, dass Apple ein RSR für das Update nutzt, zeigt, dass es sich um ein größeres Problem handelt. Nutzer sollten also möglichst bald aktualisieren.

RSR sind schnell – eigentlich

Auf iPhone und iPad erfüllt Apple den Wunsch des schnelleren Updates tatsächlich – die RSR-Aktualisierung ist, sobald Download und Vorbereitung abgeschlossen sind, in wenigen Minuten auf dem Gerät. Der Grund: Es erfolgt kein kompletter Neustart, auch wenn man einen solchen zu bestätigen hat.

Auf dem Mac unter Ventura (macOS 13) verläuft das Rapid-Security-Response-Update leider unbequemer als unter den früheren Versionen Monterey (macOS 12) und Big Sur (macOS 11). Bei den alten Betriebssystemen wird Safari 16.5.2, das den Fix enthält, nämlich zum sofortigen Download angeboten. Der Vorteil: Während für das RSR ein Neustart notwendig ist, der Zeit kostet (wenn auch etwas weniger als bei "großen" Aktualisierungen), lässt sich das Safari-Update einfach so einspielen. Warum das in diesem Fall nicht einfacher geht – also RSRs stets einen Neustart benötigen, selbst wenn das augenscheinlich gar nicht notwendig ist –, bleibt Apples Geheimnis.

