Mit einer Reihe von Software-Updates für seine Geräte hat Apple zwei möglicherweise bereits ausgenutzte Sicherheitslücken geschlossen.
Apple hat einen Notfallfix für zwei Zero-Day-Schwachstellen veröffentlicht. Offenbar wurden diese Sicherheitslücken bereits von Cyberkriminellen ausgenutzt. Foto: charnsitr – shutterstock.com
Eine der Sicherheitslücken lag in Apples WebKit-Software, die zur Anzeige von Inhalten in Webbrowsern verwendet wird. Vorbereitete Websites könnten die Lücke nutzen, um beliebigen Softwarecode auszuführen, erklärte Apple.
„Einfach ausgedrückt, ein Cyberkrimineller könnte Malware auf Ihrem Gerät installieren, indem er einfach eine ansonsten harmlose Website ansieht“, warnte die Computersicherheitsfirma Sophos am Donnerstag.
Diese Sicherheitslücke stellte für iPhones und iPads eine noch größere Bedrohung dar als für Mac-Computer: Alle Browser auf mobilen Geräten laufen auf WebKit, nicht nur das interne Safari-Programm. Die zweite Schwachstelle lag im sogenannten Kernel, dem zentralen Teil des Betriebssystems. Ein Angreifer, der sich bereits Zugriff auf das Gerät verschafft habe, könne damit auf alle möglichen Daten zugreifen, betonte Sophos.
Diese Sicherheitslücken gelten als sehr wertvoll und werden von Geheimdiensten und Entwicklern von Überwachungssoftware oft gezielt ausgenutzt. Bekannt wurde die Pegasus-Software des israelischen Spyware-Unternehmens NSO, die ebenfalls Schwachstellen in Apple-Geräten ausnutzte.
Apple verwies auf Informationen eines anonymen Forschers über Sicherheitslücken, die inzwischen gepatcht wurden. Wie andere Unternehmen bietet auch der iPhone-Konzern Belohnungen für Hinweise auf entdeckte Schwachstellen. Apple hat in den vergangenen Jahren immer wieder Sicherheitslücken bei der Veröffentlichung von Updates offengelegt.
Bei Software-Updates müssen sich Benutzer selbst aktivieren, um sie zu installieren. Die aktuellen Versionen des Betriebssystems sind iOS 15.6.1 für iPhone und iPadOS 15.6.1 für Tablets sowie macOS Monterey 12.5.1 für Apple-Computer. (dpa/rw)