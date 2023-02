Apple hat mitgeteilt, dass in seinen letzten zwei iOS-Updates mehr Sicherheitslücken behoben wurden als zunächst angenommen. Wie Sicherheitsexperten festgestellt haben, betrifft dies sowohl iOS 16.3 als auch iOS 16.3.1. Insgesamt hat Apple den beiden entsprechenden Supportdokumenten vier neue CVE-IDs mit Infos hinzugefügt. Dies erfolgte durch ein stilles Update des jeweiligen "Beipackzettels" mit sicherheitsrelevanten Infos unter Angabe des Datums vom Montag.

Nicht immer alle Lücken kommuniziert

Apple neigt schon seit mehreren Jahren dazu, bei der Freigabe neuer Betriebssysteme nicht mehr alle gestopften Sicherheitslöcher sofort zu kommunizieren. Dafür werden dann Credits ohne weitere Details ans untere Ende des Dokuments gesetzt – oder Lücken zunächst gar nicht aufgeführt, dafür später nachgereicht. (Immerhin mit Anmerkung des Ergänzungsdatums.)

Schlimmstenfalls führt dies dazu, dass Nutzer die Wichtigkeit des jeweiligen Updates nicht realisieren. Warum der Konzern so vorgeht, hat er bislang noch nicht begründet. Es könnte aus Furcht sein, dass dies die Entwicklung von Exploits erleichtert, doch dies gilt unter Sicherheitsexperten als schlechtes Argument.

Die frischen Bugs im Detail

Laut Apples nun nachgereichten Infos handelt es sich bei den in iOS 16.3 und 16.3.1 zusätzlich behobenen Lücken durchaus um schwerwiegende Probleme. Vor iOS 16.3.1 konnte ein manipuliertes Zertifikat zu einer Lahmlegung eines Gerätes führen (Denial-of-Service, DoS). Der Bug wurde von Googles Chrome-Team an Apple gemeldet und betraf auch iPadOS. Vor iOS 16.3 (samt iPadOS 16.3) konnte ein Nutzer wiederum beliebige Dateien als Root lesen (über eine Race Condition in Crash Reporter) und Foundation erlaubte das Ausführen beliebigen Codes durch eine App über die Sandbox hinaus – und zwar gleich auf zwei verschiedene Arten von Speicherfehlern.

Ob es zu den nachgereichten Fehlern jeweils Exploits gab, teilt Apple nicht mit – es wurde zumindest keine Angabe gemacht, dass es eine aktive Ausnutzung gab. Vor iOS 16.3.1 und iPadOS 16.3.1 (sowie weiteren Apple-Betriebssystemen) gab es eine aktiv ausgenutzte Lücke in WebKit, weshalb Apple vergleichsweise schnell mit einem Update herauskam – auch für ältere Mac-Systeme über eine Safari-Aktualisierung. Die nun neu kommunizierten Bugs zeigen, dass man das Update auf iOS 16.3.1 möglichst schnell einspielen sollte.

[Update 21.02.23 15:45 Uhr:] Missverständliche Formulierung zu Versionsnummern korrigiert.

(bsc)