Apple hat am Mittwochabend Updates außer der Reihe für iPhone, iPad und Mac veröffentlicht, die über die Aktualisierungsfunktion in den Systemen zu beziehen sind. Grund sind zwei Sicherheitslücken, zu denen dem Konzern laut eigenen Angaben Berichte über aktive Exploits vorliegen.
Die Fehler tragen auf Mac, iPhone und iPad jeweils die gleichen beiden CVE-IDs. Sie stecken im Kernel sowie in der Safari-Browser-Engine WebKit, die auf iPhone und iPad traditionell das einzige Web-Anzeigemodul darstellt, das Apple erlaubt. Auf dem Mac dürfen auch alternative Browser mit anderen Engines verwendet werden – Safari ist aber auch hier der Standard-Web-Betrachter, was das Gefahrenniveau erhöht. Apples Angaben zufolge kann über den Kernel-Fehler dank eines Out-of-Bounds-Fehlers beliebiger Code mit Kernel-Privilegien ausgeführt werden – ein kritischer Bug. In WebKit können wiederum manipulierte Websites beliebigen Code ausführen. Möglicherweise kombinieren die Angreifer beide Bugs, dies ist jedoch noch unklar.
watchOS 8.7.1 behebt laut Beipackzettel einen Fehler, der für unerwartete Neustarts der Computeruhr sorgen kann. Neuere Baureihen betrifft der Bug offenbar nicht, entsprechend bleibt hier watchOS 8.7 aktuell. Die zwei in iOS, iPadOS und macOS behobenen Sicherheitslücken scheint es auf der Watch nicht zu geben – watchOS 8.7.1 enthält jedenfalls explizit keine Sicherheitsfixes.
Quelle: heise
WebKit und Kernel betroffen
Die neuen Versionen sind iOS 15.6.1 und iPadOS 15.6.1 für iPhone und iPad sowie macOS Monterey 12.5.1 für den Mac. Apple empfiehlt eine baldige Installation. Bislang ist unklar, wer die Angreifer sind, die die Zero-Day-Fehler aktuell ausnutzen – und wer mögliche Opfer. In denDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
werden jeweils "anonyme Sicherheitsforscher" als Melder genannt; entsprechend lässt sich auch daraus nichts Näheres schließen. Ob auch ältere iOS- oder macOS-Versionen betroffen sind, hat Apple nicht kommuniziert.Die Fehler tragen auf Mac, iPhone und iPad jeweils die gleichen beiden CVE-IDs. Sie stecken im Kernel sowie in der Safari-Browser-Engine WebKit, die auf iPhone und iPad traditionell das einzige Web-Anzeigemodul darstellt, das Apple erlaubt. Auf dem Mac dürfen auch alternative Browser mit anderen Engines verwendet werden – Safari ist aber auch hier der Standard-Web-Betrachter, was das Gefahrenniveau erhöht. Apples Angaben zufolge kann über den Kernel-Fehler dank eines Out-of-Bounds-Fehlers beliebiger Code mit Kernel-Privilegien ausgeführt werden – ein kritischer Bug. In WebKit können wiederum manipulierte Websites beliebigen Code ausführen. Möglicherweise kombinieren die Angreifer beide Bugs, dies ist jedoch noch unklar.
watchOS 8.7.1 für bestimmtes Modell
Neben den Updates für iPhone, iPad und Mac hat Apple am Mittwochabend auch eine watchOS-Aktualisierung vorgelegt. Diese ist allerdings nur für die Apple Watch Series 3 gedacht, einDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, das Apple aber weiterhin anbietet und auch mit Updates versorgt.watchOS 8.7.1 behebt laut Beipackzettel einen Fehler, der für unerwartete Neustarts der Computeruhr sorgen kann. Neuere Baureihen betrifft der Bug offenbar nicht, entsprechend bleibt hier watchOS 8.7 aktuell. Die zwei in iOS, iPadOS und macOS behobenen Sicherheitslücken scheint es auf der Watch nicht zu geben – watchOS 8.7.1 enthält jedenfalls explizit keine Sicherheitsfixes.
Quelle: heise
