Apple stopft schwerwiegende Sicherheitslöcher in iOS und macOS

Apple hat Sicherheitsupdates für iOS und macOS veröffentlicht. iOS 10.3.2 stopft insgesamt 41 Sicherheitslöcher. macOS 10.12.5 sowie die Updates 2017-002 für OS X 10.11 El Capitan und OS X 10.10 Yosemite enthalten indes Fixes für 37 Anfälligkeiten. Darunter sind jeweils Schwachstellen, die das Einschleusen und Ausführen von Schadcode mit Root-Rechten erlauben und von daher als kritisch einzustufen sind.

Unter iOS 10.3 und früher sind unter anderem die Komponenten AVEVideoEncoder, CoreAudio, iBooks, Kernel, Notifications, Safari, Security, SQLite und WebKit fehlerhaft. Speziell gestaltete E-Books können beispielsweise benutzt werden, um ohne Zustimmung des Nutzers beliebige Websites zu öffnen. Eine Lücke in Safari ermöglicht indes Denial-of-Service-Angriffe. Ein Hacker muss sein Opfer lediglich auf eine von ihm gestaltete Website locken.

Dem Security Advisory für macOS zufolge stecken die Anfälligkeiten in 802.1X, CoreAnimation, CoreAudio, DiskArbitration, HFS, iBooks, Intel Graphics Driver, Kernel, Sandbox, Security, SQLite, TextInput und WindowServer. Apps können sich mithilfe der Fehler Systemrechte verschaffen, die Sandbox verlassen, unerlaubt Speicherinhalte auslesen oder Anmeldedaten fürs Netzwerk abfangen.

Schadcode lässt sich iPhones, iPads und Macs mithilfe von manipulierten Websites, E-Books, Texteingaben, SQL-Abfragen und Apps unterschieben – zum Teil mit Root- oder Kernelrechten. Der Blogger Fefe macht in dem Zusammenhang darauf aufmerksam, dass solche Schwachstellen auf für Angriffe mit Ransomware benutzt werden könnten, wie sie am Wochenende im Rahmen der WannaCry-Kampagne beobachtet wurden.

„Wenn Ihr übrigens dachtet, anlässlich der aktuellen Windows-Ransomware, bei Apple sei das Gras grüner….“ Aus seiner Sicht sei Apple im Vergleich zu Microsoft deutlich schlimmer. „Dass Apple-User nicht alle drei Sekunden von Ransomware ausgenommen werden, liegt eher daran, dass der Marktanteil zu insignifikant ist. Und dass die Kriminellen ihnen nicht zutrauen, Bitcoins zu überweisen“, lautet sein provokanter Kommentar.

Apple behebt mit den Updates aber auch verschiedene nicht sicherheitsrelevante Fehler. Unter macOS wurde die Audio-Wiedergabe bei der Verwendung von USB-Kopfhörern verbessert und die Kompatibilität des Mac App Store mit künftigen Softwareupdates erhöht. Das Windows 10 Creators Update kann nun mithilfe von Boot Camp auch ohne Medien installiert werden. Außerdem werden weitere RAW-Formate von Digitalkameras unterstützt. Auch das Problem, dass bei einigen Enterprise- und Education-Kunden das Systemdatum auf das Jahr 2040 verstellt wurde, soll der Vergangenheit angehören. Die Versionshinweise für iOS 10.3.2 erwähnen lediglich generelle Fehlerkorrekturen und Verbesserungen.

iOS 10.3.2 steht ab sofort für iPhone 5 und später, iPad 4 und später sowie den iPod Touch der sechsten Generation zur Verfügung. Die Verteilung erfolgt Over-the-Air. Mac-Nutzer erhalten macOS Sierra 10.12.5 sowie die Sicherheitsupdates 2017-002 für El Capitan und Yosemite über den Mac App Store. Alternativ stehen sie auch auf der Apple-Website zum Download bereit.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago