Apple stopft schwerwiegende Sicherheitslöcher in iOS und macOS

Apple hat Sicherheitsupdates für iOS und macOS veröffentlicht. iOS 10.3.2 stopft insgesamt 41 Sicherheitslöcher. macOS 10.12.5 sowie die Updates 2017-002 für OS X 10.11 El Capitan und OS X 10.10 Yosemite enthalten indes Fixes für 37 Anfälligkeiten. Darunter sind jeweils Schwachstellen, die das Einschleusen und Ausführen von Schadcode mit Root-Rechten erlauben und von daher als kritisch einzustufen sind.

Unter iOS 10.3 und früher sind unter anderem die Komponenten AVEVideoEncoder, CoreAudio, iBooks, Kernel, Notifications, Safari, Security, SQLite und WebKit fehlerhaft. Speziell gestaltete E-Books können beispielsweise benutzt werden, um ohne Zustimmung des Nutzers beliebige Websites zu öffnen. Eine Lücke in Safari ermöglicht indes Denial-of-Service-Angriffe. Ein Hacker muss sein Opfer lediglich auf eine von ihm gestaltete Website locken.

Dem Security Advisory für macOS zufolge stecken die Anfälligkeiten in 802.1X, CoreAnimation, CoreAudio, DiskArbitration, HFS, iBooks, Intel Graphics Driver, Kernel, Sandbox, Security, SQLite, TextInput und WindowServer. Apps können sich mithilfe der Fehler Systemrechte verschaffen, die Sandbox verlassen, unerlaubt Speicherinhalte auslesen oder Anmeldedaten fürs Netzwerk abfangen.

Schadcode lässt sich iPhones, iPads und Macs mithilfe von manipulierten Websites, E-Books, Texteingaben, SQL-Abfragen und Apps unterschieben – zum Teil mit Root- oder Kernelrechten. Der Blogger Fefe macht in dem Zusammenhang darauf aufmerksam, dass solche Schwachstellen auf für Angriffe mit Ransomware benutzt werden könnten, wie sie am Wochenende im Rahmen der WannaCry-Kampagne beobachtet wurden.

„Wenn Ihr übrigens dachtet, anlässlich der aktuellen Windows-Ransomware, bei Apple sei das Gras grüner….“ Aus seiner Sicht sei Apple im Vergleich zu Microsoft deutlich schlimmer. „Dass Apple-User nicht alle drei Sekunden von Ransomware ausgenommen werden, liegt eher daran, dass der Marktanteil zu insignifikant ist. Und dass die Kriminellen ihnen nicht zutrauen, Bitcoins zu überweisen“, lautet sein provokanter Kommentar.

Apple behebt mit den Updates aber auch verschiedene nicht sicherheitsrelevante Fehler. Unter macOS wurde die Audio-Wiedergabe bei der Verwendung von USB-Kopfhörern verbessert und die Kompatibilität des Mac App Store mit künftigen Softwareupdates erhöht. Das Windows 10 Creators Update kann nun mithilfe von Boot Camp auch ohne Medien installiert werden. Außerdem werden weitere RAW-Formate von Digitalkameras unterstützt. Auch das Problem, dass bei einigen Enterprise- und Education-Kunden das Systemdatum auf das Jahr 2040 verstellt wurde, soll der Vergangenheit angehören. Die Versionshinweise für iOS 10.3.2 erwähnen lediglich generelle Fehlerkorrekturen und Verbesserungen.

iOS 10.3.2 steht ab sofort für iPhone 5 und später, iPad 4 und später sowie den iPod Touch der sechsten Generation zur Verfügung. Die Verteilung erfolgt Over-the-Air. Mac-Nutzer erhalten macOS Sierra 10.12.5 sowie die Sicherheitsupdates 2017-002 für El Capitan und Yosemite über den Mac App Store. Alternativ stehen sie auch auf der Apple-Website zum Download bereit.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.