Apple hat ausserplanmässig ein neues Update für iPhone, iPad und Mac veröffentlicht. Grund sind zwei Sicherheitslücken, zu denen Apple Berichte über aktive Angriffe vorliegen. Die Schwachstellen ermöglichen es Angreifern, die vollständige Kontrolle über die Geräte zu übernehmen.
Eine der Schwachstellen steckte in Apples WebKit-Software, mit deren Hilfe Inhalte in Webbrowsern und anderen Apps dargestellt werden. Präparierte Websites könnten die Lücke nutzen, um einen beliebigen Software-Code ausführen zu lassen, erläuterte Apple. «Einfach gesagt, könnte ein Cyberkrimineller Schadsoftware auf ihrem Gerät platzieren, wenn sie sich nur eine ansonsten harmlose Webseite angeschaut haben», warnte danach die IT-Sicherheitsfirma Sophos am Donnerstag.
Durch diese Schwachstelle sind iPhones und iPads noch stärker bedroht als Mac-Computer: Denn auf den mobilen Geräten laufen alle Browser mit WebKit und nicht nur das hauseigene Programm Safari. Die zweite Sicherheitslücke befand sich im sogenannten Kernel, dem zentralen Teil des Betriebssystems. Ein Angreifer, der sich bereits Zugriff auf das Gerät verschaffte, könne damit alle möglichen Daten abgreifen, betonte Sophos.
Die Ausnutzung einer Schwachstelle, die nur dem Entdecker, respektive dem Käufer der Lücke bekannt ist, charakterisiert man mit dem Begriff Zero-Day-Exploit. Solche Sicherheitslücken gelten als sehr wertvoll und werden meist von Geheimdiensten und Entwicklern von Überwachungssoftware gezielt ausgenutzt. Bekannt wurde vor allem die Software Pegasus der israelischen Spionagesoftware-Firma NSO, die auch Schwachstellen auf Apple-Geräten ausnutzte.
Bei diesen Notfall-Updates müssen Nutzer selbst aktiv werden, um sie schnellstmöglich zu installieren. Die aktuellen Betriebssystem-Versionen sind iOS 15.6.1 beim iPhone und iPadOS 15.6.1 bei den Tablets sowie macOS Monterey 12.5.1 bei Apples Computern.
Eine baldige Installation wird von IT-Experten dringend empfohlen. In den iPhone-Einstellungen unter dem Reiter «Allgemein» findet sich der Bereich «Softwareupdate». Mit einem Klick öffnet sich nun der Update-Bildschirm des iPhones. Ganz unten gibt es die Option, die aktuelle Version herunterzuladen. Mit einem Klick auf «Laden und installieren» startet der Vorgang.
«Bislang ist unklar, wer die Angreifer sind, die die Zero-Day-Fehler aktuell ausnutzen – und wer mögliche Opfer», schreibt das deutsche Techportal Heise.
Apple verwies bei den jetzt gestopften Sicherheitslücken auf Hinweise eines anonymen Forschers. Der iPhone-Konzern vergibt wie auch andere Unternehmen Belohnungen für Informationen über entdeckte Schwachstellen. In den vergangenen Jahren gab Apple wiederholt Sicherheitslücken bei der Veröffentlichung von Updates bekannt.
Die Lücken stecken im Kernel sowie in Apples Safari-Browser-Engine WebKit, «die auf iPhone und iPad traditionell das einzige Web-Anzeigemodul darstellt, das Apple erlaubt», wie Heise erklärt. Angreifbar sind allenfalls auch Chrome und andere Browser, weil diese auf iOS und iPadOS zwingend Apples Web-Anzeigemodul nutzen müssen. «Auf dem Mac dürfen auch alternative Browser mit anderen Engines verwendet werden – Safari ist aber auch hier der Standard-Web-Betrachter, was das Gefahrenniveau erhöht», schreibt Heise.
Weitere Informationen würden zum Schutz der Kunden erst dann veröffentlicht, wenn eine Untersuchung weitere Ergebnisse über die Sicherheitslücken geliefert habe, sagt Apple.
Ein Update für die ältere Apple Watch Series 3 auf watchOS 8.7.1 behebt zudem einen Fehler, der für unerwartete Neustarts der Computeruhr sorgen kann.
Bereits im September plant Apple, die brandneue Softwareversion iOS 16 zu veröffentlichen – und diese bringt zahlreiche neue Funktionen, Verbesserungen und auch ein neues Design für aktuelle iPhones. Unter anderem sollen Nutzer ihren Sperrbildschirm und ihren Fokus jetzt individuell anpassen können, für unterschiedliche Gelegenheiten: Ob im Urlaub, im Büro oder in der Freizeit soll so jeder passend zu seiner Umgebung ein eigenes Design anlegen können.
Auch eine neue Funktion für iMessage ist geplant: So sollen sich innerhalb der ersten 15 Minuten verschickte Nachrichten noch bearbeiten oder komplett zurückziehen lassen. Eine Funktion, die Nachrichten-Apps wie WhatsApp und Telegram bereits seit längerer Zeit von Haus aus integriert haben. Auch die prozentuale Akku-Anzeige feiert eine Rückkehr, wie Beta-Tester herausgefunden haben. Dies hatten sich viele Nutzer gewünscht, um direkt auf dem Startbildschirm erkennen zu können, wie viel Akkuladung ihr iPhone noch besitzt.
(oli/t-online/ARG/awp/sda/dpa)
