Am Montag veröffentlichte Apple wichtige Sicherheitsupdates für iPads, Macs und iPhones mit älteren Betriebssystemen, um schwerwiegende Fehler im Zusammenhang mit WebKit, Kernel-Zugriff, WLAN und Sandbox-Escapes zu beheben.
Das Unternehmen veröffentlichte am 11. Mai eine große Runde von Sicherheitsupdates, mit denen Schwachstellen in aktuellen und älteren Versionen von macOS, iOS und iPadOS behoben wurden. Zu den Veröffentlichungen gehören macOS Tahoe 26.5, macOS Sequoia 15.7.7, macOS Sonoma 14.8.7, iOS 18.7.9, iPadOS 18.7.9, iPadOS 17.7.11, iOS 16.7.16 und iOS 15.8.8.
Detaillierte, vom Unternehmen veröffentlichte Hinweise beschreiben Schwachstellen, die den Kernel, WebKit, WLAN, Sandbox-Schutz, Datenschutzsysteme und Dateiverarbeitungs-Frameworks betreffen. Apple liefert weiterhin Sicherheitspatches für iPhones, iPads und Macs aus, die vor mehr als einem Jahrzehnt veröffentlicht wurden, auch wenn diese Geräte hinter den neuesten Betriebssystemen zurückbleiben.
Betriebssysteme der aktuellen Generation haben im Veröffentlichungszyklus die größten Sicherheitspatches erhalten. Beispielsweise enthält macOS Tahoe 26.5 Korrekturen für Schwachstellen im Zusammenhang mit der Rechteausweitung, Sandbox-Escapes, Denial-of-Service-Angriffen, Gatekeeper-Umgehungen, der Ausführung willkürlichen Codes auf Kernel-Ebene und der Offenlegung vertraulicher Benutzerdaten.
iOS 18.7.9 und iPadOS 18.7.9 beheben eine Vielzahl von Schwachstellen, die das iPhone XS, das iPhone XR und das iPad der siebten Generation betreffen. Die Updates umfassen Korrekturen für Fehler in WebKit, Siri, Mail Drafts, App Intents, Wi-Fi, mDNSResponder, LaunchServices und mehreren Kernel-Komponenten.
Apple hat außerdem Schwachstellen behoben, die es Apps ermöglichen könnten, erhöhte Berechtigungen zu erlangen, Sandbox-Beschränkungen zu umgehen oder auf geschützte Benutzerinformationen zuzugreifen.
In keinem der Advisories wird festgestellt, dass die gepatchten Schwachstellen aktiv ausgenutzt werden. Apple gibt normalerweise explizite Warnungen aus, wenn es davon ausgeht, dass Angreifer bereits eine Schwachstelle gegen Benutzer ausnutzen, und diese Hinweise erscheinen in den neuesten Versionen nicht.
WebKit- und Kernel-Korrekturen dominieren die Veröffentlichung
WebKit hat in den neuesten Sicherheitsversionen einige der größten Korrekturen erhalten. Die Browser-Engine unterstützt Safari, App Store-Vorschauen, eingebettete App-Browser und viele Webansichten auf iOS und macOS.
Apple hat mehrere WebKit-Schwachstellen behoben, die den Schutz der Inhaltssicherheitsrichtlinie umgehen, vertrauliche Benutzerinformationen preisgeben, Safari-Prozesse zum Absturz bringen oder den Speicher durch böswillige Webinhalte beschädigen könnten. Die Veröffentlichung enthält außerdem umfangreiche Kernel-Korrekturen für macOS, iOS und iPadOS.
Diese Patches beheben Schwachstellen im Zusammenhang mit der Eskalation von Root-Rechten, der Offenlegung des Kernel-Speichers, Ganzzahlüberläufen, Schreibvorgängen außerhalb der Grenzen, Race Conditions und Gatekeeper-Umgehungen im Zusammenhang mit bösartigen Disk-Images oder ZIP-Archiven.
Netzwerk- und Wireless-Systeme erhielten mehrere schwerwiegende Korrekturen. Die Updates beheben einen Wi-Fi-Fehler, der die Ausführung willkürlichen Codes mit Kernel-Berechtigungen über eine Out-of-bounds-Schreibschwachstelle ermöglicht, sowie Denial-of-Service-Bugs mit manipulierten Wi-Fi-Paketen und mDNSResponder-Netzwerkverkehr.
Apple hat außerdem Schwachstellen im Zusammenhang mit der Aufzählung installierter Apps, der Umgehung von App-Datenschutzberichten, der Nachverfolgung von IP-Adressen, dem unbefugten Zugriff auf Kontakte, der Bildschirmaufnahme durch die Offenlegung von Kamerametadaten und mehreren Sandbox-Escape-Fehlern behoben.
Apple pflegt weiterhin Hardware aus den Jahren 2014 und 2015
Separate Wartungsupdates erweitern weiterhin die Sicherheitsunterstützung für veraltete Hardware. Apple hat dedizierte Versionen für iPadOS 17, iOS 16 und iOS 15 veröffentlicht, anstatt den Support einzustellen, sobald Geräte hinter den neuesten Betriebssystemzweig zurückfallen.
iPadOS 17.7.11 zielt auf das iPad der sechsten Generation, das 10,5-Zoll-iPad Pro und das 12,9-Zoll-iPad Pro der zweiten Generation ab. Diese Version enthält einen einzelnen Notification Services-Fix zur Behebung eines Problems, bei dem gelöschte Benachrichtigungen unerwartet auf dem Gerät gespeichert bleiben konnten.
Auch ältere Hardware erhielt Updates über iOS 16.7.16 und iPadOS 16.7.16 für Geräte wie das iPhone X und das 12,9-Zoll-iPad Pro der ersten Generation. iOS 15.8.8 und iPadOS 15.8.8 erweitern die Unterstützung noch weiter auf Hardware, einschließlich iPhone 6s, iPhone 7, iPhone SE der ersten Generation, iPad Air 2 und iPad mini 4.
Beide Legacy-Zweige beheben dieselbe Notification Services-Schwachstelle, die mit der Aufbewahrung gelöschter Benachrichtigungen verbunden ist. Die Forschungszuordnung in den einzelnen Empfehlungen spiegelt auch Veränderungen in der Sicherheitsbranche wider.
Apple lobte Forscher der Google Threat Analysis Group, Google Project Zero, Palo Alto Networks, der TrendAI Zero Day Initiative und unabhängiger Sicherheitsfirmen für die Veröffentlichung. Eine Kernel-Schwachstelle in macOS Tahoe 26.5 wurde Calif.io „in Zusammenarbeit mit Claude und Anthropic Research“ zugeschrieben.
Wie Benutzer das Risiko reduzieren können
Viele der gepatchten Schwachstellen betreffen Browser-Engines, drahtlose Netzwerke, App-Isolationssysteme und Low-Level-Betriebssystemkomponenten. Schwachstellen in WebKit, Wi-Fi und dem Kernel können die Kernschutzfunktionen des gesamten Betriebssystems beeinträchtigen.
Benutzer sollten die Updates so schnell wie möglich installieren und die Geräte anschließend neu starten, damit Kernel- und Netzwerk-Patches vollständig angewendet werden. Apple empfiehlt außerdem, nicht vertrauenswürdige Apps, unbekannte Konfigurationsprofile, verdächtige Links, ungesicherte WLAN-Netzwerke und unerwünschte Dateidownloads zu vermeiden.
Mehrere der gepatchten Schwachstellen betreffen bösartige Webinhalte, manipulierte Dateien, Rechteausweitung und Sandbox-Escape-Fehler.
Safari- und Systembrowser-Updates sind von entscheidender Bedeutung, da WebKit einen Großteil des Software-Ökosystems von Apple über Safari hinaus unterstützt. Benutzer mit nicht unterstützten Geräten, die keine Sicherheitsupdates erhalten, sollten es vermeiden, sie für sensible Aufgaben wie Bankgeschäfte, Passwortverwaltung oder das Speichern persönlicher Daten zu verwenden.