Schwere Sicherheitslücken in Apples Betriebssystemen – Updates einspielen

Schwachstellen machen das Einschleusen von Schadcode auf iPhone und Mac möglich, warnt Apple. Apps und Webseiten können heimlich das iPhone-Mikro aktivieren.

In Pocket speichern vorlesen Druckansicht 48 Kommentare lesen
Junger Mann blickt stirnrunzelnd auf sein Handy

(Bild: USAF/Delanie Stafford)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Nutzer von iPhone, iPad und Mac sollten Apples am Montagabend veröffentlichte Betriebssystem-Updates zügig installieren: iOS 12.2 und macOS 10.14.4 schließen jeweils eine zweistellige Zahl an Sicherheitslücken, darunter gravierende, die etwa das Einschleusen von Schadcode beim Aufruf einer manipulierten Webseite ermöglichen.

Die Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums warnt, dass auch entfernte Angreifer manche dieser Schwachstellen zur Systemübernahme einsetzen können - und drängt zur Aktualisierung.

Durch eine Lücke in ReplayKit ist es Apps außerdem möglich, das Mikrofon von iPhone und iPad zu aktivieren ohne dass der Nutzer davon etwas mitbekommt, wie Apple in den Detailinformationen zu den Sicherheitsneuerungen von iOS 12.2 ausführt. Durch eine WebKit-Schwachstelle können auch manipulierte Webseiten das Mikro heimlich aktivieren, merkt der Hersteller an.

Eine Schwachstelle in Apples GeoServices erlaubt das Ausführen von Schadcode beim Anklicken eines manipulierten Links in einer SMS-Nachricht, schreibt Apple ohne weitere Details zu nennen. Die Lücke (CVE-2019-8553) sei von einem "anonymen Sicherheitsforscher" gemeldet worden. Derartige Schwachstellen werden Berichten zufolge unter anderem von staatlichen Stellen eingesetzt, um gezielt iPhones von Zielpersonen zu übernehmen. Insgesamt zählt Apple über 50 Schwachstellen auf, die iOS 12.2 beseitigen soll.

Für macOS 10.14.4 führt Apple 38 gestopfte Sicherheitslücken auf, darunter eine Schwachstelle, die Apps das Auslesen von sensiblen Daten aus dem Mac-Schlüsselbund erlaubt. Bösartige Programme können außerdem Root-Rechte erlangen, heißt es weiter. Dies sei "extrem einfach auszunutzen", schreibt der Sicherheitsforscher, der die Lücke an Apple gemeldet hat. Details wolle er aber erst später nennen, damit Nutzer Zeit zum Aktualisieren bleibt.

Neben den System-Updates für iOS 12 und macOS 10.14 Mojave hat Apple auch Sicherheits-Updates für macOS 10.13 High Sierra und macOS 10.12 Sierra zum Download freigegeben – sowie eine neue Mac-Version 12.1 von Safari veröffentlicht, sie ist in macOS 10.14.4 bereits enthalten. Auch die Programmierumgebung Xcode erhält in Version 10.2 einen Sicherheits-Fix.

Zudem gibt es Sicherheits-Updates für Apples TV-Box (tvOS 12.2) und Windows-Nutzer: Sowohl iCloud als auch iTunes sollten auf den aktuellen Stand gebracht werden. Neben zahlreichen WebKit-Schwachstellen beseitigen die Updates auch einen Pufferüberlauf, der es Programmen ermöglicht, Rechte auszuweiten, wie Apple erklärt. (lbe)