Apple hat am Karfreitag drei Betriebssystem-Updates veröffentlicht, nämlich iOS 16.4.1, macOS Ventura 13.3.1 und Safari 16.4.1 (für macOS Big Sur und macOS Monterey). In den Veröffentlichungsnotizen für iOS 16.4.1 behebt der Hersteller den Fehler, dass Siri manchmal nicht auf Anfragen reagiert hat, und fügt eine Hautfarben-Auswahl für das neue Emoji mit den schiebenden Händen hinzu. Obwohl der Karfreitag kein Feiertag in den USA ist, ist es ungewöhnlich, dass Apple an diesem Tag wichtige System-Updates veröffentlicht, da Entwickler im Zweifelsfall am Wochenende darauf reagieren müssen, falls etwas schiefgeht.
Zwei Sicherheitslücken geschlossen
Offenbar war Apple jedoch gezwungen, ein dringendes Update für seine betroffenen Systeme zu veröffentlichen, da in iOS, macOS und Safari zwei Lücken geschlossen wurden, die bereits für Angriffe genutzt wurden. Besonders besorgniserregend ist eine Lücke in Webkit, der Rendering-Engine von Apple, die für die Darstellung von Webseiten in vielen Apps, nicht nur in Safari und anderen Browsern, verantwortlich ist.
Diese Lücke ermöglicht es präparierten Seiten, beliebigen Code auf betroffenen Geräten auszuführen und wurde bereits für Angriffe gegen Nutzer genutzt. Der zweite vergleichbare Fehler wurde im Swift-Framework IOSurfaceGenerator entdeckt und ermöglicht es einem manipulierten Code in einer App, Code auf dem Kernel auszuführen, der tiefsten Ebene des iOS, die bereits an die Hardware angedockt ist und alles andere im Betriebssystem kontrolliert.
Pegasus-Forscher als einer der Entdecker gelistet
Bezeichnend sind auch die Entdecker der beiden Bugs. Während Google's Threat Analysis Group ein alter Bekannter bei den Securty-Updates von Apple ist, findet sich der Name von Donncha Ó Cearbhail von Amnesty International zum ersten Mal bei den Bug-Findern. Der Wahl-Berliner Cearbhail war lange Zeit an den Forschungen zu der Hacking-Software Pegasus beteiligt.
Wir empfehlen es allen Nutzern und Nutzerinnen, das Update auf iOS 16.4.1, macOS 13.3.1 und Safari 16.4.1 so schnell wie möglich zu installieren. Die entdeckten Lücken sind im freien Umlauf und betreffen Webkit, sowie den Kernel. Mit einem präparierten Link wäre die Übernahme des Geräts durch die Angreifer denkbar. (Macwelt)