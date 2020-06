Apple hat in der Nacht zum Dienstag überraschend ein weiteres Update für iOS und iPadOS vorgelegt. In den Releasenotes war zunächst nur zu lesen, dass die Aktualisierung "wichtige Sicherheits-Updates" liefere und daher "für alle Nutzer" empfohlen werde. Wie sich kurze Zeit später herausstellte, dient die neue Software mit der Versionsnummer 13.5.1 dazu, die vom Jailbreak unc0ver 5 ausgenutzte Zero-Day-Lücke in iOS beziehungsweise iPadOS 13.5 zu stopfen.

Ein Credit für unc0ver

Das bestätigte Apple in einer sehr kurzen Patch-Notiz auf seiner Sicherheits-Website. Dort heißt es lapidar, der Bug erlaubte es einer Anwendung, "beliebigen Code mit Kernel-Privilegien" auszuführen. Grund sei ein Speicherverbrauchsproblem, das man mit "verbessertem Memory Handling" adressiert habe.

Unter Credits wird "unc0ver" verzeichnet. iOS (beziehungsweise iPadOS) 13.5 war ungewöhnlicherweise sofort nach Ankunft durch einen Jailbreak knackbar gewesen, wurde also gleich mit einer Lücke ausgeliefert. Das dürfte Apples Sicherheitsabteilung kaum geschmeckt haben. Wenig später war außerdem ein Jailbreak für die jüngste Version von tvOS verfügbar.

Neben iOS und iPadOS 13.5.1 hat Apple auch weitere Aktualisierungen vorgelegt, die sich allesamt um die Behebung der Kernel-Lücke kümmern. Dies sind watchOS 6.2.6, tvOS 13.4.6 sowie HomePod OS 13.4.6. Der Fehler steckt außerdem auch in macOS. Daher verteilt Apple hierfür "Supplemental Updates".

Diese sind für macOS 10.15.5 ebenso wie für das Security Update 2020-003 High Sierra erhältlich, allerdings nicht für das ebenfalls zusammen mit macOS 10.15.5 verteilte Security Update 2020-003 Mojave. Ob dies bedeutet, dass dort die Lücke nicht besteht, bleibt unklar – es ist allerdings merkwürdig, dass das Unternehmen eine frühere macOS-Variante (High Sierra, 10.13) versorgt, das neuere Mojave (10.14) aber nicht.

