Sicherheitsfixes: Apple behebt zahllose Lücken – inklusive erste im C1

Apples am Montagabend publizierte Betriebssystemupdates für iPhone, Mac, iPad, Apple Watch, Apple TV und Vision Pro enthalten einmal mehr ein ganzes Bündel an sicherheitsrelevanten Fehlerbehebungen. Einige der Bugs sind kritisch, zudem wurde erstmals eine Lücke in Apples mit dem iPhone 16e eingeführtem Mobilfunkmodem C1 entdeckt und geschlossen. Auch ältere Betriebssysteme erhielten eine Aktualisierung, wie üblich aber nicht mit allen Fixes.

Die Updates auf iOS 18.5 (iPhone) und iPadOS 18.5 (iPad) kommen mit über 30 von Apple näher ausgeführten Fehlerbehebungen. Hinzu kommen 15 "Credits", bei denen Apple nur den Bereich nennt, in dem ein Fix eingearbeitet wurde, neben den Angaben des jeweiligen Melders aber keinerlei weitere Angaben macht. Dies wird zumeist Wochen oder Monate später nachgeholt – offenbar, um zu verhindern, dass (zu schnell) Exploits entwickelt werden, auch wenn Sicherheitsexperten eine solche "Security through Obscurity" stets ablehnen.

Mindestens zwei der von Apple genannten Lücken – eine im Kernel, eine im Security-Framework – lassen sich aus der Ferne ausnutzen, um Apps zu beenden beziehungsweise Speicher auszulesen. Die Bereiche, die Fixe erhielten, sind unter anderem die Bilderleseroutine AppleJPEG (manipulierte Dateien konnten Prozessspeicher schädigen und Apps abstürzen lassen), in Core Bluetooth (sensible Nutzerdaten konnten leaken), in CoreGraphics (dito), CoreMedia (App-Absturz) sowie FaceTime (Denial of Service) und iCloud-Document-Sharing (Angreifer konnte Ordner freigeben, ohne sich anzumelden). Teils kritische Fehler steckten auch in der Browser-Engine WebKit, in mDNSResponder und weiteren Systemteilen. Interessant: Erstmals wurde Apple ein Bug im C1-Chip gemeldet, der auch gefixt wurde. Beim iPhone 16e war es demnach möglich, dass ein Angreifer Datenverkehr mitlauscht, allerdings nur, wenn er sich in einer "privileged network positon" befand. Was das konkret heißt – etwa ob die Person im WLAN sein musste oder im Mobilfunknetzwerk selbst –, gibt Apple nicht an.

Über 45 behobene Fehlerbereiche nennt Apple bei macOS 15.5. Details zu mehr als einem weiteren Dutzend kommuniziert der Konzern (noch) nicht. Neben den in iOS 18.5 und iPadOS 18.5 behobenen Problemen sind unter anderem der afp-Daemon betroffen (Fehler konnte zum Systemabsturz führen), Apple Intelligence (KI-Berichte waren Apps zugänglich), BOM und Audio (Abstürze durch Web-Inhalte und Apps), Finder (Zugriff auf sensible Daten durch Apps), ProRes (Abstürze des Systems und des Kernels) und Sandbox (Datenschutzlücken). Auch zahlreiche Bugs in WebKit wurden behoben.

Für ältere Systeme stehen macOS 13.7.6 (Ventura) und macOS 14.7.6 zum Download bereit. Sie beheben einen Teil der Lücken aus macOS 15. Einige Fixes werden außerdem für iPadOS 17 in Form von iPadOS 17.7.7 ausgeliefert. Safari 18.5, das Teil von macOS 15.5 ist, gibt es für Ventura und Sonoma auch als Einzel-Update, das die WebKit-Fehlerbehebungen enthält. Dringend aktualisieren sollte man auch die Apple Watch (watchOS 11.5), Apple TV (tvOS 18.5 und Vision Pro (visionOS 2.5). Viele der in iOS 18.5 und macOS 15.5 behobenen Probleme werden auch in den anderen Systemen angegangen.