Hardware & Software Alert! Update fürs Update: Apple überholt letzte "Rapid Security Response"

Apple hat in der Nacht zum Donnerstag sein jüngstes Sicherheitsupdate für macOS, iPadOS und iOS in einer neuen Version publiziert. Zuvor war die sogenannte

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

von dem Konzern zurückgezogen worden, da es Probleme mit der Website-Kompatibilität gegeben hatte. Bekannte Angebote wie etwa Instagram oder Zoom meldeten, dass der Safari-Browser, der mit dem RSR gepatcht wurde, "nicht mehr" unterstützt werde. Der Grund: Apple hatte am User-Agent-String geschraubt und diesem ein "(a)" hinzugefügt, was Websites nicht korrekt lesen können.

Zero-Day-Fehler gefixt – Gefahr der Ausnutzung​

Der Fehler soll nun behoben sein, behauptet Apple. Die Aktualisierung lässt sich über die Systemeinstellungen auf Mac, iPad und iPhone einspielen, sollte aber in den kommenden Wochen auch automatisch verteilt werden – der Sinn von RSRs ist, dass diese möglichst schnell auf die Geräte gelangen. Hauptgrund für das Update war ein Zero-Day-Fehler in der Browser-Engine WebKit, der laut Angaben von Apple bereits ausgenutzt wurde. Dabei reichte es offenbar, bestimmte manipulierte Websites aufzurufen, damit ein Angreifer beliebigen Code ausführen kann – allerdings wohl nicht mit Root-Rechten. "Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv ausgenutzt worden sein könnte", so das Unternehmen. Die CVE-ID lautet 2023-37450, der Entdecker möchte laut Apple anonym bleiben.
Das RSR war bereits am Montagabend an die Nutzer gegangen, es wurde allerdings innerhalb kurzer Zeit zurückgezogen, also nicht mehr über die Softwareaktualisierung verteilt. Danach benötigte Apple drei Tage, bis der Fix ausgerollt wurde. Das Update nennt sich nun "iOS Security Response 16.5.1 (c)" beziehungsweise "macOS Ventura‌ Security Response 13.4.1 (c)". Das "(b)" überging der Konzern intern. Die Aktualisierung erfolgt auf iPhone und iPad vergleichsweise schnell, es ist hier kein vollständiger Neustart notwendig. Allerdings kann das Setup einige Minuten dauern. Auf dem Mac ist die Aktualisierung ebenfalls etwas schneller, bedingt aber einen Neustart. Für Monterey und Big Sur (macOS 13, macOS 12) gibt es ein eigenes Safari-Update 16.5.2. Dieses wurde von Apple offenbar nicht aktualisiert.

Was Rapid Security Response-Updates können​

Apples Idee bei RSRs ist es, den schlechten Ruf von Sicherheitsupdates ("Download zu groß", "dauern zu lange", "es fehlt Speicherplatz") aufzupolieren. Der Konzern hat deshalb 2022 mit macOS 13 und iOS/iPadOS 16 die sogenannten schnellen Sicherheitsmaßnahmen eingeführt. Das sind leichtgewichtige Sicherheitsupdates, die Apple außerhalb der normalen Updates zum Schließen schwerwiegender Sicherheitslücken veröffentlichen kann. So gerät der geplante Entwicklungszyklus nicht aus dem Tritt. Da auch einige umfangreiche Tests eines normalen Updates entfallen können, kann Apple die Sicherheitsupdates mit weniger Verzögerung als bisher ausliefern und somit schneller auf bekannt gewordene Lücken reagieren.
Praktisch ist, dass es auch die Möglichkeit eines Rollbacks von Updates gibt. Dies war in diesem Fall hilfreich, weil der Bug im ersten RSR 16.5.1 (a) die Nutzung wichtiger Websites störte. In den Systemeinstellungen unter "Allgemein" und "Info" klickt man dafür bei iPhone und iPad auf das Update (beim Mac auf das kleine "i") und erhält dann die Möglichkeit, es rückgängig zu machen. Allerdings verliert man damit natürlich auch die Absicherung durch den Patch.
Quelle: heise