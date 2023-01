iOS 16.3, iPadOS 16.3, macOS 13.2 und watchOS 9: Apple hat mit seinen am Montagabend bereitgestellten Updates erneut zahlreiche Sicherheitslöcher gestopft. Einmal mehr sind auch Fehler darunter, die ein Ausführen böswilligen Codes mit Kernel-Rechten erlauben – wenn auch laut Apples Angaben nicht aus der Ferne (Remote Exploit). Daneben wurden auch ältere Betriebssystemversionen mit Security-Fixes aktualisiert.

Bugs in vielen Bereichen

iOS 16.3 und iPadOS 16.3 beheben Sicherheitsprobleme in insgesamt 15 Bereichen. Zu drei der Bugs äußerst sich Apple aktuell nicht näher, sie werden nur mit Credits erwähnt. Betroffen sind unter anderem Kernel, AppleMobileFileIntegrity, Safari, Bildschirmzeit und die Browser-Engine WebKit. Über Fehler in WebKit konnten Angreifer-Websites auch Code ausführen, wenn auch nicht mit Kernel-Rechten.

Der Bug in Bildschirmzeit erlaubt ein Auslesen von Kontakten, die Wetter- und die Karten-App ermöglichten ein Umgehen von Privatsphäreneinstellungen. In Mail steckte ein Problem, bei dem weitergeleitete Exchange-Nachrichten an falsche Adressaten gehen konnten. ImageIO enthielt eine Denial-of-Service-Möglichkeit.

macOS 13.2 behebt Sicherheitsprobleme in insgesamt 26 Bereichen des Betriebssystems. Vier Bugs davon – in Bluetooth, Kernel, den Kurzbefehlen und WebKit – führt Apple nicht näher aus. Neben den auch in iOS enthaltenen Lücken (AppleMobileFileIntegrity, ImageIO, Kernel, Mail, Maps, Bildschirmzeit, Wetter, WebKit und Safari) geht der Hersteller auch Bugs in curl, dcerpc, Intel-Grafiktreibern, Windows Installer, DiskArbitration, libxpc, PackageKit und sogar Vim an. Auch hier gibt es wieder Fehler, die ein Ausführen böswilligen Codes – teilweise mit Kernel-Rechten – ermöglichen.

Der Bug in DiskArbitration sorgte dafür, dass ein verschlüsseltes Laufwerk unter Umständen von anderen Nutzern gelesen werden konnte. Remote-Exploit-Möglichkeiten wurden laut Apples Angaben nicht gefixt.

watchOS 9.3 – und ein fehlendes tvOS 16.3

Schließlich enthält auch watchOS 9.3 für die Apple Watch eine Reihe gestopfter Sicherheitslöcher. Hier sind es ein knappes Dutzend – alles Fehler, die auch schon in den anderen Updates behoben wurden, einige werden auch hier nicht näher ausgeführt. Unschön: tvOS 16.3 hat Apple bislang nicht bereitgestellt, ebenso wenig wie HomePod OS 16.3.

Es ist davon auszugehen, dass beide Aktualisierungen ebenfalls diverse Security-Fixes enthalten, die ohne die Verfügbarmachung der Updates weiter offenstehen, von Apple aber bereits dokumentiert wurden und daher eine Angriffsfläche bieten. Wann tvOS 16.3 und HomePod OS 16.3 erscheinen, ist bislang unklar. Beide Systeme waren eigentlich in dieser Woche erwartet worden.

(bsc)