Eine aktiv für Angriffe ausgenutzte Lücke in einer älteren macOS-Version sorgt für Kritik an Apples Patch-Strategie. Der Hersteller wiege Nutzer älterer Betriebssystemversionen mit weiter ausgelieferten Sicherheits-Updates in falscher Sicherheit, weil dabei längst nicht alle Schwachstellen behoben werden, warnen Sicherheitsforscher.
Die Malware richtete sich offenbar gezielt gegen Aktivisten in Hongkong. Den Patch für macOS 10.15 reichte Apple erst nach, nachdem Googles Sicherheitsforscher die Malware-Kampagne an den Konzern gemeldet hatten.
Zum Einsatz kam dafür eine schwere Lücke im XNU-Kernel sowie eine Schwachstelle im Safari-Browser-Unterbau WebKit. Die WebKit-Lücke schloss Apple mit einem Update des Browsers, die XNU-Schwachstelle wurde im Februar jedoch nur in der damals jüngsten Version macOS 11.2 (und iOS 14.4) beseitigt. Einen Hinweis auf die Lücke, die das Jailbreak-Hacker-Team Pangu offenbar schon zum Jahresanfang an Apple gemeldet hatte, trug Apple erst im September nach – parallel zum Patch für macOS 10.15 Catalina (und iOS 12).
Von Apple gibt es keine offizielle Aussage, wie lange Betriebssystemversionen überhaupt Updates erhalten sollen. Über das vergangenen Jahrzehnt hat sich eingespielt, dass jeweils die beiden der aktuellen Version vorausgehenden macOS-Versionen über einen unbestimmten Zeitraum weiter Sicherheitsupdates erhalten. In diesem Jahr liefert Apple erstmals auch Sicherheits-Updates die letztjährige iOS- und iPadOS-Version. Die "umfassendsten Sicherheitsupdates" erhält man aber nur mit iOS 15, so der Hersteller.
Quelle: heise
Lücke für sieben Monate offen
Eine in der damals neuesten macOS-Version 11 Big Sur still gestopfte Lücke blieb in der Vorgängerversion macOS 10.15 Catalina offenbar über sieben Monate offenstehen und wurde in diesem Zeitraum aktiv für Angriffe ausgenutzt. Eine über manipulierte Webseiten ausgelieferte Malware konnte sich bei Besuch der Seite im Browser heimlich und ohne Nutzerinteraktion installieren, wie die AV-Firma Malwarebytes erläutert – dabei sei eine "ziemlich vollausgestattete Hintertür" auf den Macs der Opfer eingeschleust worden.Die Malware richtete sich offenbar gezielt gegen Aktivisten in Hongkong. Den Patch für macOS 10.15 reichte Apple erst nach, nachdem Googles Sicherheitsforscher die Malware-Kampagne an den Konzern gemeldet hatten.
Zum Einsatz kam dafür eine schwere Lücke im XNU-Kernel sowie eine Schwachstelle im Safari-Browser-Unterbau WebKit. Die WebKit-Lücke schloss Apple mit einem Update des Browsers, die XNU-Schwachstelle wurde im Februar jedoch nur in der damals jüngsten Version macOS 11.2 (und iOS 14.4) beseitigt. Einen Hinweis auf die Lücke, die das Jailbreak-Hacker-Team Pangu offenbar schon zum Jahresanfang an Apple gemeldet hatte, trug Apple erst im September nach – parallel zum Patch für macOS 10.15 Catalina (und iOS 12).
Kein Update-Versprechen von Apple
Warum Apple den Fehler erst so spät in der älteren Version des Betriebssystems behoben hat, bleibt offen. macOS 10.14 Mojave erhielt zu diesem Zeitpunkt bereits keine Sicherheits-Updates mehr, obwohl die neuste Version macOS 12 Monterey noch Wochen entfernt war. Ob die Schwachstelle im XNU-Kernel von macOS 10.14 ebenfalls besteht, ist unklar.Von Apple gibt es keine offizielle Aussage, wie lange Betriebssystemversionen überhaupt Updates erhalten sollen. Über das vergangenen Jahrzehnt hat sich eingespielt, dass jeweils die beiden der aktuellen Version vorausgehenden macOS-Versionen über einen unbestimmten Zeitraum weiter Sicherheitsupdates erhalten. In diesem Jahr liefert Apple erstmals auch Sicherheits-Updates die letztjährige iOS- und iPadOS-Version. Die "umfassendsten Sicherheitsupdates" erhält man aber nur mit iOS 15, so der Hersteller.
Quelle: heise