Apple stopft schwerwiegende Sicherheitslöcher in iOS und macOS

Apple hat Sicherheitsupdates für iOS und macOS veröffentlicht. iOS 10.3.2 stopft insgesamt 41 Sicherheitslöcher. macOS 10.12.5 sowie die Updates 2017-002 für OS X 10.11 El Capitan und OS X 10.10 Yosemite enthalten indes Fixes für 37 Anfälligkeiten. Darunter sind jeweils Schwachstellen, die das Einschleusen und Ausführen von Schadcode mit Root-Rechten erlauben und von daher als kritisch einzustufen sind.

Unter iOS 10.3 und früher sind unter anderem die Komponenten AVEVideoEncoder, CoreAudio, iBooks, Kernel, Notifications, Safari, Security, SQLite und WebKit fehlerhaft. Speziell gestaltete E-Books können beispielsweise benutzt werden, um ohne Zustimmung des Nutzers beliebige Websites zu öffnen. Eine Lücke in Safari ermöglicht indes Denial-of-Service-Angriffe. Ein Hacker muss sein Opfer lediglich auf eine von ihm gestaltete Website locken.

Dem Security Advisory für macOS zufolge stecken die Anfälligkeiten in 802.1X, CoreAnimation, CoreAudio, DiskArbitration, HFS, iBooks, Intel Graphics Driver, Kernel, Sandbox, Security, SQLite, TextInput und WindowServer. Apps können sich mithilfe der Fehler Systemrechte verschaffen, die Sandbox verlassen, unerlaubt Speicherinhalte auslesen oder Anmeldedaten fürs Netzwerk abfangen.

Schadcode lässt sich iPhones, iPads und Macs mithilfe von manipulierten Websites, E-Books, Texteingaben, SQL-Abfragen und Apps unterschieben – zum Teil mit Root- oder Kernelrechten. Der Blogger Fefe macht in dem Zusammenhang darauf aufmerksam, dass solche Schwachstellen auf für Angriffe mit Ransomware benutzt werden könnten, wie sie am Wochenende im Rahmen der WannaCry-Kampagne beobachtet wurden.

„Wenn Ihr übrigens dachtet, anlässlich der aktuellen Windows-Ransomware, bei Apple sei das Gras grüner….“ Aus seiner Sicht sei Apple im Vergleich zu Microsoft deutlich schlimmer. „Dass Apple-User nicht alle drei Sekunden von Ransomware ausgenommen werden, liegt eher daran, dass der Marktanteil zu insignifikant ist. Und dass die Kriminellen ihnen nicht zutrauen, Bitcoins zu überweisen“, lautet sein provokanter Kommentar.

Apple behebt mit den Updates aber auch verschiedene nicht sicherheitsrelevante Fehler. Unter macOS wurde die Audio-Wiedergabe bei der Verwendung von USB-Kopfhörern verbessert und die Kompatibilität des Mac App Store mit künftigen Softwareupdates erhöht. Das Windows 10 Creators Update kann nun mithilfe von Boot Camp auch ohne Medien installiert werden. Außerdem werden weitere RAW-Formate von Digitalkameras unterstützt. Auch das Problem, dass bei einigen Enterprise- und Education-Kunden das Systemdatum auf das Jahr 2040 verstellt wurde, soll der Vergangenheit angehören. Die Versionshinweise für iOS 10.3.2 erwähnen lediglich generelle Fehlerkorrekturen und Verbesserungen.

iOS 10.3.2 steht ab sofort für iPhone 5 und später, iPad 4 und später sowie den iPod Touch der sechsten Generation zur Verfügung. Die Verteilung erfolgt Over-the-Air. Mac-Nutzer erhalten macOS Sierra 10.12.5 sowie die Sicherheitsupdates 2017-002 für El Capitan und Yosemite über den Mac App Store. Alternativ stehen sie auch auf der Apple-Website zum Download bereit.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Covid-Hacker attackieren E-Mail-Konten

Mit getürkten Informationen über die Covid-Variante Omikron verstärken Hacker ihre Angriffe auf E-Mail-Konten, erklärt Dr.…

2 Stunden ago

Bedrohung durch Cybercrime-as-a-Service

Drei Tipps zur Abwehr von Ransomware-Attacken, die als Cybercrime-as-a-Service (CaaS) gestartet werden, geben die Experten…

3 Stunden ago

Edge Computing für smarte Städte

Kommunen sind gefordert, die Lebensqualität ihrer Bürger zu erhöhen. Edge Computing ist dabei der Schlüssel…

9 Stunden ago

Trendthema Network as a Service

Network as a Service (NaaS) hat das Zeug, traditionelle Netzwerkinfrastrukturen zu revolutionieren. Die digitale Transformation…

9 Stunden ago

Backup verteidigt gegen Ransomware

Erpressern wird es früher oder später gelingen, in ein Unternehmensnetzwerk einzudringen. Deswegen hat Backup als…

9 Stunden ago

Angreifen erlaubt! Ethisches Hacking stellt Netzwerksicherheit auf die Probe

Die Mehrzahl der Unternehmen in Deutschland verfügt heute über eine IT-Abteilung und ein unternehmenseigenes Netzwerk…

10 Stunden ago