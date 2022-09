Apple hat neben iOS 16 und watchOS 9 am Montagabend auch Aktualisierungen für ältere Betriebssysteme freigegeben. Dabei handelt es sich um reine Sicherheitsupdates, neue Funktionen sind offenbar nicht enhalten. Frisch verfügbar sind macOS Monterey 12.6, macOS Big Sur 11.7, iPadOS 15.7 sowie iOS 15.7 – letzteres ist für Nutzer gedacht, die noch nicht auf iOS 16 aktualisieren wollen, in denen die Patches offenbar ebenfalls stecken. Weiterhin hat Apple den Browser Safari 16 für macOS 12 und 11 bereitgestellt; es behebt Sicherheitslücken und bietet einige neue Funktionen.

Schwere Lücken gestopft

Mit den Aktualisierungen kümmert sich Apple einmal mehr um die Beseitigung schwerer Sicherheitslücken. In iOS 15.7 und iPadOS 15.7 sind dies mehr als ein Dutzend, wobei Apple nicht bei allen die genauen Details aufführt. Zu den Bugs zählen Fehler im Kernel, die das Ausführen von Code mit entsprechenden Rechten erlauben; einer der Bugs wird bereits in Form eines Zero-Day-Exploits ausgenutzt, wie Apple selbst ausführt. Weitere Fehler betreffen den Privatsphärenschutz: U.a. können über Apple Maps sensible Ortsdaten ausgelesen werden und die Kontakte-App hält sich unter Umständen nicht an die Datenschutzeinstellungen des Nutzers. Ein Bug in Safari erlaubt ein Tracking über Web-Extensions, ein weiterer in Shortcuts das Auslesen von Fotos vom Sperrbildschirm. Mehrere Fehler in der Browser-Engine WebKit erlauben ein Ausführen von Code über manipulierte Websites.

Die in macOS 12.6 und macOS 11.7 behobenen Fehler entsprechen teilweise denen in iOS beziehungsweise iPadOS 15.7., darunter die aktiv ausgenutzte Kernel-Lücke. Allerdings gibt es auch nur für macOS relevante Bugs. Diese stecken unter anderem in iMovie, in ATS, der Medienbibliothek (MediaLibrary) und in PackageKit. Angreifer können darüber teilweise mehr Rechte erlangen, manchmal aber auch sensible Daten auslesen (darunter in Maps).

Safari 16 für all

Bemerkenswert ist, dass Apple auch schon Safari 16 freigegeben hat, das eigentlich Teil von macOS 13 alias Ventura ist. Das neue Betriebssystem kommt allerdings erst im Oktober. Apple wollte offenbar nicht mit dem Update warten, weil die neue Browser-Version auch eine Handvoll Sicherheitslöcher stopft. Diese sind in der Browser-Engine WebKit und dem Web-Extension-Management enthalten und können zur Ausführung böswilligen Codes beziehungsweise zum unerwünschten Tracking von Nutzern verwendet werden. Ein weiterer Fehler erlaubt das sogenannte UI-Spoofing, was etwa für Phishing-Angriffe verwendet werden könnte.

Safari 16 bringt aber auch neue Funktionen. Dazu gehört eine Tab-Gruppen-Startseite, bei der man Hintergrundbild und Favoriten festlegen kann; zudem lassen sich favorisierte Tabs nun anpinnen. Die Seitenleiste listet auf Wunsch geöffnete Tabs. Website-Einstellungen synchronisieren via iCloud und ein verbessertes Passwortmanagement kennt die jeweiligen Kriterien einer Website für Zugänge, sollten diese standardisiert an den Browser gemeldet werden. Angaben dazu, welche Sicherheitslücken in tvOS 16 und watchOS 9 behoben wurden, machte Apple bislang noch nicht. Die in iOS 16 gefixten Bugs scheinen denen in iOS 15.7 behobenen zu entsprechen. macOS Catalina (10.15) hat Apple bislang nicht mit Patches versorgt – ob diese noch kommen, ist unklar.

(bsc)