DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Gefährliche Lücke in iOS und macOS – darum sollten Apple-User rasch updaten

Apple hat ein eiliges Update für iPhone, iPad, Apple Watch und Mac veröffentlicht. Durch die Installation wird eine kritische Lücke geschlossen, die offenbar bereits ausgenutzt wird.
14.02.2022, 11:0914.02.2022, 11:18
Apple veröffentlichte Ende letzter Woche ein weiteres Notfall-Update.
Apple veröffentlichte Ende letzter Woche ein weiteres Notfall-Update.bild: t-online / Jan Mölleken

Nur zwei Wochen nach dem grossen Software-Update auf iOS 15.3 schiebt Apple eilig ein kleines Update auf Version 15.3.1 sowie macOS 12.2.1 hinterher. Der Grund dafür ist die Entdeckung einer weiteren Zero-Day-Sicherheitslücke, also einer bislang unbekannten Schwachstelle, die dem Softwareunternehmen nicht vorab von einem Sicherheitsforscher mitgeteilt wurde. Laut einem Bericht werde sie bereits aktiv ausgenutzt, schreibt Apple in seinen Informationen zum Sicherheitspatch.

Dort wird zudem beschrieben, dass es sich um einen Fehler handelt, der Apples Browser-Engine WebKit betrifft. Auf diesem Softwaregerüst baut beispielsweise Apples Webbrowser Safari auf. WebKit wird auch in anderen Apple-Apps genutzt, um HTML-Inhalte darzustellen, etwa in der Mail-App.

Laut Apple habe der Fehler dazu geführt, dass Angreifer mit einer bösartig programmierten Website direkt Schadcode ausführen könnten. Mit anderen Worten: Apple-Geräte werden nach dem Besuch manipulierter, respektive schädlicher Websites infiziert. Und teilweise sei das auch bereits passiert.

Alle Apple-User sind betroffen

Von Webkit-Fehlern sind alle iOS-User betroffen, da Apple die Rivalen Google, Microsoft, Mozilla und Co. zwingt, für ihre Browser auf iOS (Chrome, Edge, Firefox usw.) ebenfalls WebKit zu nutzen. Auch Nicht-Safari-Nutzerinnen und -Nutzer betrifft diese Schwachstelle deshalb direkt.

Da WebKit auch auf dem iPad, der Apple Watch und dem Mac eingesetzt wird, stehen auch für diese Plattformen entsprechende Updates bereit. Für iOS 14 hat Apple den Sicherheits-Support offenbar längst eingestellt – hier sollte spätestens jetzt auf iOS 15 aktualisiert werden.

Staats-Trojaner Pegasus lässt grüssen

Solche Lücken sind brandgefährlich, da Geheimdienste und Kriminelle so Geräte hacken können, indem sie die Opfer auf eine manipulierte Seite locken oder für den User unsichtbare iMessage-Nachrichten senden, die Schadcode ausführen. Es ist also teils keine Interaktion (öffnen einer Datei etc.) seitens des Opfers notwendig. So wurde und wird beispielsweise der berüchtigte Staats-Trojaner Pegasus auf iPhones von (oppositionellen) Politikern in diversen Ländern eingeschleust.

Das jetzt geschlossene Sicherheitsleck hört auf die Bezeichnung CVE-2022-22620. Bereits vor zwei Wochen musste Apple mit iOS 15.3 zwei «Zero Day»-Schwachstellen stopfen. Die erfolgreiche Ausnutzung der ersten Zero-Day-Lücke ermöglicht es Kriminellen, auf kompromittierten Geräten eigenen Code auszuführen. Die zweite Zero-Day-Lücke war ebenfalls ein Safari-WebKit-Fehler, der es Website-Betreibern ermöglicht, die Surfaktivitäten und die Identitäten der Besucher in Echtzeit zu verfolgen.

Apple musste 2022 bereits mindestens drei besonders gravierende Sicherheitslücken mit einem Notfall-Update beheben. 2021 waren es über ein Dutzend Zero-Day-Lücken.

Das iOS-Update bringt übrigens noch eine weitere kleine Verbesserung mit: Ein Fehler, der dafür sorgte, dass sogenannte Braille-Displays nicht mehr reagieren, sei ebenfalls behoben worden. Braille-Displays sind Geräte, die eine ertastbare Darstellung von Bildschirminhalten für Menschen mit Sehbehinderung liefern.

Übrigens: Bei der Installation des Updates auf einem iPhone in der t-online-Redaktion (watson-Medienpartner) wurde zwar die richtige Versionsnummer 15.3.1 angezeigt, fälschlicherweise aber die umfangreichen Updatehinweise für iOS 15. Auf einem anderen Gerät trat der Fehler nicht auf. Davon sollte man sich nicht irritieren lassen, auch nicht davon, dass das Upgrade angeblich über 5 GByte gross sei. Tatsächlich erfolgte der Download recht schnell, vermutlich wurde im Hintergrund also nur der Patch von Version 15.3 auf Version 15.3.1 geladen – auf einem anderen Gerät wurde dies korrekt angezeigt. Hier war die Downloadgrösse mit 880 MB angegeben.

(t-online/oli)​

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Sieben eindrückliche Hacker-Attacken

1 / 10
Sieben eindrückliche Hacker-Attacken
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

iPhone-App bläst Kerzen aus

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

10 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
wombsen
14.02.2022 12:10registriert September 2016
Schon wieder!?
205
Melden
Zum Kommentar
10
Russische Hackergruppe Killnet versuchte ESC-Voting zu hacken

Die italienische Polizei hat nach eigenen Angaben Hackerangriffe auf das Finale des Eurovision Song Contest (ESC) in Turin verhindert. Die Hacker hätten versucht, in der Eröffnungsnacht am Dienstag und während des Finales von Samstag auf Sonntag in die Systeme einzudringen, teilte die Polizei am Sonntag in Turin mit.

Zur Story