Apple schließt kritische Sicherheitslücken in iOS 9 und OS X

Apple hat iOS 9.2.1 zum Download freigegeben. Das Update schließt insgesamt 13 Sicherheitslücken, die es einem Angreifer unter anderem erlauben, Schadcode einzuschleusen und auszuführen. Ein Opfer müsste er dafür lediglich auf eine speziell gestaltete Website locken. Darüber hinaus verteilt Apple seit gestern Abend OS X 10.11.3 El Capitan sowie das Sicherheitsupdate 2016-001.

Das Update für Apples Mobilbetriebssystem stopft Lücken in den Komponenten Disk Images, IOKit, Libxslt und Syslog. Ein lokal angemeldeter Nutzer kann unter Umständen beliebigen Code mit Root-Rechten ausführen. Eine Kernel-Lücke wiederum könnte einem lokalen Nutzer helfen, Kernel-Rechte zu erhalten.

Fünf Speicherfehler in WebKit ermöglichen laut Apple ebenfalls eine Remotecodeausführung beim Besuch einer manipulierten Website. Ein Patch für WebKit CSS soll indes verhindern, dass Hacker den Browserverlauf eines Nutzers ausspähen.

Wie 9to5Mac berichtet enthält iOS 9.2.1 zudem einen Fix für ein nicht sicherheitsrelevantes Problem. Ein Fehler in der Vorgängerversion verhindert demnach, dass Apps bei Verwendung eines MDM-Servers korrekt installiert werden.

OS X 10.11.3 El Capitan verbessert laut Apple nicht nur die Sicherheit eines Mac, sondern auch die Stabilität und Kompatibilität. Es soll außerdem ein Problem lösen, das dazu führt, dass Macs, die mit bestimmten 4K-Displays verbunden sind, nicht mehr aus dem Ruhezustand aufwachen.

Sicherer wird El Capitan vor allem durch Fixes für insgesamt 9 Schwachstellen, wovon 6 auch in iOS 9.2 und früher stecken. Dazu zählen die Fehler in Disk Images, IOKit, Syslog, Kernel und Libxslt. Mac-spezifisch sind indes Fixes für AppleGraphicsPowerManagement, IOAcceleratorFamily, und OSA Scripts. Auch hier könnte ein lokaler Angreifer unter Umständen Schadcode mit Kernelrechten ausführen oder OSA-Skript-Bibliotheken überschreiben.

Das Sicherheitsupdate 2016-001, das sich an Nutzer von OS X Mavericks 10.9.5 und OS X Yosemite 10.10.5 richtet, stopft indes nur ein Sicherheitsloch. Dabei handelt es sich um die Lücke in der Bibliothek Libxslt, die auch in iOS 9.2 steckt.

Entdeckt wurden die Schwachstellen unter anderem von Mitarbeitern von Yahoo, Trend Micro, Google, Zimperium und Skycure. Lediglich die Anfälligkeiten in WebKit hat Apple selber gefunden.

iOS 9.2.1 steht ab sofort für iPhone 4S und später, iPad 2 und später sowie den iPod Touch der fünften Generation zur Verfügung. Apple verteilt das Update Over-the-Air. Es kann aber auch über einen PC oder Mac mit installierter iTunes-Software eingespielt werden. Die Updates für OS X erhalten Nutzer über den Mac App Store.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.