Nur zwei Wochen nach dem grossen Software-Update auf iOS 15.3 schiebt Apple eilig ein kleines Update auf Version 15.3.1 sowie macOS 12.2.1 hinterher. Der Grund dafür ist die Entdeckung einer weiteren Zero-Day-Sicherheitslücke, also einer bislang unbekannten Schwachstelle, die dem Softwareunternehmen nicht vorab von einem Sicherheitsforscher mitgeteilt wurde. Laut einem Bericht werde sie bereits aktiv ausgenutzt, schreibt Apple in seinen Informationen zum Sicherheitspatch.
Dort wird zudem beschrieben, dass es sich um einen Fehler handelt, der Apples Browser-Engine WebKit betrifft. Auf diesem Softwaregerüst baut beispielsweise Apples Webbrowser Safari auf. WebKit wird auch in anderen Apple-Apps genutzt, um HTML-Inhalte darzustellen, etwa in der Mail-App.
Laut Apple habe der Fehler dazu geführt, dass Angreifer mit einer bösartig programmierten Website direkt Schadcode ausführen könnten. Mit anderen Worten: Apple-Geräte werden nach dem Besuch manipulierter, respektive schädlicher Websites infiziert. Und teilweise sei das auch bereits passiert.
Von Webkit-Fehlern sind alle iOS-User betroffen, da Apple die Rivalen Google, Microsoft, Mozilla und Co. zwingt, für ihre Browser auf iOS (Chrome, Edge, Firefox usw.) ebenfalls WebKit zu nutzen. Auch Nicht-Safari-Nutzerinnen und -Nutzer betrifft diese Schwachstelle deshalb direkt.
Da WebKit auch auf dem iPad, der Apple Watch und dem Mac eingesetzt wird, stehen auch für diese Plattformen entsprechende Updates bereit. Für iOS 14 hat Apple den Sicherheits-Support offenbar längst eingestellt – hier sollte spätestens jetzt auf iOS 15 aktualisiert werden.
Solche Lücken sind brandgefährlich, da Geheimdienste und Kriminelle so Geräte hacken können, indem sie die Opfer auf eine manipulierte Seite locken oder für den User unsichtbare iMessage-Nachrichten senden, die Schadcode ausführen. Es ist also teils keine Interaktion (öffnen einer Datei etc.) seitens des Opfers notwendig. So wurde und wird beispielsweise der berüchtigte Staats-Trojaner Pegasus auf iPhones von (oppositionellen) Politikern in diversen Ländern eingeschleust.
Das jetzt geschlossene Sicherheitsleck hört auf die Bezeichnung CVE-2022-22620. Bereits vor zwei Wochen musste Apple mit iOS 15.3 zwei «Zero Day»-Schwachstellen stopfen. Die erfolgreiche Ausnutzung der ersten Zero-Day-Lücke ermöglicht es Kriminellen, auf kompromittierten Geräten eigenen Code auszuführen. Die zweite Zero-Day-Lücke war ebenfalls ein Safari-WebKit-Fehler, der es Website-Betreibern ermöglicht, die Surfaktivitäten und die Identitäten der Besucher in Echtzeit zu verfolgen.
Apple musste 2022 bereits mindestens drei besonders gravierende Sicherheitslücken mit einem Notfall-Update beheben. 2021 waren es über ein Dutzend Zero-Day-Lücken.
Das iOS-Update bringt übrigens noch eine weitere kleine Verbesserung mit: Ein Fehler, der dafür sorgte, dass sogenannte Braille-Displays nicht mehr reagieren, sei ebenfalls behoben worden. Braille-Displays sind Geräte, die eine ertastbare Darstellung von Bildschirminhalten für Menschen mit Sehbehinderung liefern.
Übrigens: Bei der Installation des Updates auf einem iPhone in der t-online-Redaktion (watson-Medienpartner) wurde zwar die richtige Versionsnummer 15.3.1 angezeigt, fälschlicherweise aber die umfangreichen Updatehinweise für iOS 15. Auf einem anderen Gerät trat der Fehler nicht auf. Davon sollte man sich nicht irritieren lassen, auch nicht davon, dass das Upgrade angeblich über 5 GByte gross sei. Tatsächlich erfolgte der Download recht schnell, vermutlich wurde im Hintergrund also nur der Patch von Version 15.3 auf Version 15.3.1 geladen – auf einem anderen Gerät wurde dies korrekt angezeigt. Hier war die Downloadgrösse mit 880 MB angegeben.
(t-online/oli)
