iOS & Co: Apple schließt Sicherheitslücken – BSI gibt Entwarnung für Mail

Apple-Nutzer sollten die Betriebssystem- und App-Updates des Herstellers umgehend einspielen, sie beseitigen eine lange Liste teils kritischer Schwachstellen.

by

Nach einer knappen Woche hat Apple nun erste Details zu Sicherheitslücken nachgeliefert, die die jüngsten Updates des Herstellers beseitigen sollen. Darin führt das Unternehmen auch auf, dass zwei Schwachstellen in Mail ausgeräumt wurden – sowohl durch iOS 13.5 als auch durch iOS 12.4.7, das Nutzer älterer Modelle wie iPhone 6 und iPhone 5s installieren können.

Parallel gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) Entwarnung für Apples in iOS und iPadOS vorinstallierten E-Mail-Client: Nach Installation der jüngsten System-Updates könne die App Mail wieder genutzt werden. Die Sicherheitsfirma ZecOps, die Apple auf die Lücken hinwies, hatte schon Anfang der Woche mitgeteilt, dass die Schwachstellen in Apple Mail durch die Updates vollständig behoben seien.

Updates für alle Betriebssysteme – und Windows-Software

Die Updates, die Apple für iOS, iPadOS, watchOS, tvOS, macOS, den Browser Safari, den iCloud-Client sowie iTunes für Windows und den Windows-Migrationsassistenten für macOS Catalina veröffentlicht hat, sollen aber noch eine lange Liste weiterer Schwachstellen ausräumen, wie sich in den nun auf Englisch verfügbaren Support-Dokumenten des Konzerns nachlesen lässt. Der Konzern hatte mit der Veröffentlichung offenbar noch auf die Freigabe von macOS 10.15.5 sowie der Sicherheits-Updates für ältere macOS-Versionen gewartet, die in der Nacht auf Mittwoch zum Download bereitgestellt wurden.

In den Angaben warnt der Konzern etwa vor Fehlern, die entfernten Angreifern das Ausführen von Schadcode ermöglichen könnten, das sei etwa im Zusammenhang mit der Browser-Engine WebKit sowie Python möglich. Auch über Schwachstellen bei den Funkschnittstellen Bluetooth und WLAN seien Angriffe aus der Ferne möglich, heißt es in den Support-Dokumenten. Chinesische Sicherheitsforscher haben Apple zudem auf mehrere Kernel-Schwachstellen hingewiesen, die Apps das Ausführen von Schadcode mit Kernel-Rechten erlauben können – auch diese sollen gestopft sein.

https://www.heise.de/Magazin-Banner/macandi_mobil.jpg

Ungepatchte Kernel-Schwachstelle in iOS 13.5

In den aktuellen Versionen iOS / iPadOS 13.5 sowie tvOS 13.4.5 gibt es eine bislang noch unbeseitigte Kernel-Schwachstelle, die bereits für einen Jailbreak genutzt wird. Sie erlaube einem lokalen Angreifer, Admin-Rechte zu erlangen, warnt das BSI und stuft das Risiko als "sehr hoch" ein. Wann Apple dafür einen weiteren Patch bereitstellt, ist vorerst unklar. (lbe)