News Gravierende Sicherheitslücken: Apple rät zu schnellem Update von iOS, iPadOS und macOS

JonaK · 19. August 2022

Man muss ja nichts beschönigen, eine solche Sicherheitslücke ist eine Katastrophe und die aktive Ausnutzung dieser bedeutet ja schlicht, dass sie schon mindestens einige Tage bekannt war.
Das ist aber leider der Stand der Dinge in IT Security. Es gibt keine Fehlerfreie Software und je größer, desto höher die Chance. Welche Ausmaße ein OS hat, erkennt man doch recht gut daran, was bei Windows noch von 95 überbleibt.
Es bleiben also nur die Fragen: Wie oft passiert es, wie lange braucht der Hersteller es zu Fixen, wer erhält alles den Fix.
In 2 von 3 Punkten sehe ich Apple da recht vorbildlich. Wie oft, bzw. wie viel öfter sie betroffen sind wäre auf der anderen Seite mal eine sehr interessante Statistik.

Fakechaser · 19. August 2022

Wenn Apple sagt, dass iOS das sicherste Mobile-OS ist, dann könnte das statistisch stimmen.
Das heißt aber nicht, dass iOS zu 100% sicher ist, denn das kann kein OS von sich behaupten. Sicher ist nur die Steuer und der Tod. 🤪

Die VPN-Nummer unter iOS finde ich richtig krass. Wenn die Kernfunktion einer OS-System-Applikation dauerhaft nicht funktioniert und wie in diesem Fall die Sicherheit der Nutzer sprengt, dann würde ich das Team knallhart entlassen.
Lächerlich was Apple hier abzieht.

abcddcba · 19. August 2022

Syrato schrieb:
Jeder Mensch weiss, dass es nichts gibt was 100% sicher ist.

Nein, das weiß garantiert nicht jeder User ... schon gar nicht wenn man von seinen eigenen Lieblingsprodukten maximal überzeugt ist. Das betrifft hierbei alle Hersteller, nicht nur Apple Fanboys.

Aber ist doch alles ok, Fehler gefunden/gemeldet und nun Lücke soweit geschlossen. Sofern die Fixes auch in die Software eingepflegt werden, was wiederum Aufgabe der User dann ist. Ende.

gustlegga · 19. August 2022

Notting schrieb:
betrifft das auch macOS vor Monterey?

Wies bisher aussieht nicht.
Zu der zugehörigen CVE ist aber bisher weder bei Mitre, Nist oder cvedetails.com was zu finden.
Und bevor nicht etwaige andere "kalifornische Landschaften" gepatcht sind, wird da wohl auch erst mal nichts drinnen stehen.

His.Instance · 19. August 2022

Fakechaser schrieb:
Die VPN-Nummer unter iOS finde ich richtig krass. Wenn die Kernfunktion einer OS-System-Applikation dauerhaft nicht funktioniert und wie in diesem Fall die Sicherheit der Nutzer sprengt, dann würde ich das Team knallhart entlassen.
Lächerlich was Apple hier abzieht.

Auf "MacTechNews" habe ich zufällig (wurde mir in meinem News Feed vorgeschlagen, kenne die Seite ansonsten nicht) eine interessante Diskussion gesehen, wonach das alles richtig so wäre und auch nicht anders gehen würde. Keine Ahnung was ich davon halten soll, auf jeden Fall würde ich mir da Aufklärung seitens Apple samt Validierung unabhängiger Sicherheitsexperten wünschen.
Ist ja keine Lappalie, vor allem betrifft es potentiell jene, die wirklich auf sichere Verbindungen angewiesen sind.

RobinSword · 19. August 2022

Bin ich der Einzige, der der News nicht entnehmen kann, welche iOS-Versionen denn jetzt genau betroffen sind? ALLE von 1.0 bis 15.6?

gustlegga · 19. August 2022

Fakechaser schrieb:
Wenn Apple sagt, dass iOS das sicherste Mobile-OS ist, dann könnte das statistisch stimmen.
Das heißt aber nicht, dass iOS zu 100% sicher ist, denn das kann kein OS von sich behaupten

Das Problem ist halt, dass es 2 Gruppen unter der Apple Kundschaft gibt.
Solche die wie zB du mit offenen Augen durch die Welt gehen, und dann solche die durch das Apple Whitewashing und dämliches BIAS solche Dinge wie das hier am liebsten ignorieren
https://www.cvedetails.com/product/15556/Apple-Iphone-Os.html?vendor_id=49
während man das Google OS als Virenschleuder in der Art einer Ebola-Station hinstellt.
Gut, bei Android siehts natürlich allein schon durch den offeneren Ansatz und der größeren Verbreitung schlechter aus, hier der Vollständigkeit halber auch noch der Link dazu
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
und was mehr verbreitet ist, da wird natürlich auch mehr gesucht.
Kennt man ja von Windows und Intel CPUs....
Aber so dass man wöchentlich von Millionen angegriffener Androiden hört, obwohl viele Geräte mit völlig veralteter Software im Umlauf sind (gut dass sich das nun endlich zu bessern scheint), so ist es nun auch wieder nicht.
Es wird nicht alles so heiß gegessen wie gekocht..... aber mit so neutralen Einstellungen wie Du und ich haben, da kommt man in solchen Nerdforen oft nicht sehr weit....
Für mich kommt Apple aus diversen Gründen auch nicht in Frage, aber deswegen muss ich ja die durchaus sehr guten iPhones nicht schlecht reden, nur weil ich persönlich halt einfach eine Vorliebe für reine AOSP CustomRom ohne Google-Dienste und Hersteller-Bloatware habe und ich ganz gern selber Herr über meine Hardware bin.

Cool Master · 19. August 2022

Syrato schrieb:
Das drückt schon aufs Apple Vertrauen!
Sind ja doch gravierende Sicherheitslücken.

Die es bei Windows genau so gibt

Das ist nicht das erste mal, dass es so eine große Lücke bei Apple gibt und es wird nicht die letze sein.

gustlegga · 19. August 2022

RobinSword schrieb:
Bin ich der Einzige, der der News nicht entnehmen kann, welche iOS-Versionen denn jetzt genau betroffen sind? ALLE von 1.0 bis 15.6?

So wie ich das aus der Liste in der News entnehme
iOS/PadOS 15.6, WatchOS 8.7 und MacOS 12.5. - die 1 hinten dran dürfte dann der Patch sein.
Sonst würden für ältere Versionen ja auch Patches angeführt sein.
Ich hab zumindest den Leuten in meinem Freundeskreis die Applegeräte haben schon mal eine Nachricht geschrieben sie sollen mal nach Updates suchen lassen..

BrollyLSSJ · 19. August 2022

Mein iPhone hat das Update in der Nacht von vorgestern auf gestern bereits installiert gehabt. Habe ich nicht mal mitbekommen. Nur bei der Watch hat er nichts automatisch installiert, obwohl ich die Watch heute Nacht zum Aufladen angeschlossen hatte.

Edith sagt: OK, das Update der Watch betrifft gar nicht meine SE. Dann passt das ja.

Auch für die Apple Watch ist ein Update auf watchOS 8.7.1 verfügbar, allerdings nur exklusiv für die 2017 erschienene Apple Watch Series 3.

gustlegga · 19. August 2022

Cool Master schrieb:
Das ist nicht das erste mal, dass es so eine große Lücke bei Apple gibt und es wird nicht die letze sein.

Die größte Lücke bei Apple sind ihre AnwenderInnen, wie man seinerzeit bei den iCloud Leaks der Promis gesehen hat...^^
Zum Teil ist das aber auch hausgemacht, weil man ja kaum über Probleme kommuniziert und dem User am liebsten das Denken abnimmt statt sie auch zur Eigenverantwortung anmahnt.
Der Grund mag vielseitig sein, einerseits die Käufer aus falsch verstandener Sorge nicht vergraulen/überfordern, andererseits den "Nimbus der Unfehlbarkeit" erhalten. Dämlich sind beide ...
Seit 25 Jahren weiß jedes Kleinkind dass man mit einer Windowskiste ohne Malwareschutz lieber äusserst vorsichtig sein soll im Netz.....

BorstiNumberOne · 19. August 2022

Wir haben bei uns auch gleich alles geupdated, alle sieben iPhones und das ipad. Von den AWs ist ja nur die 3er betroffen, von denen haben wir aber keine bzw. findet die 6er auch kein neueres Update als 8.7.

Edit: Yeah, 3K Beiträge erreicht. 😁

Buddha1337 · 19. August 2022

Ultrafigo schrieb:
WTF?

Mein Update auf dem iPhone 13 Pro war mit in den 250MB deutlich kleiner....

Cheers

Wo liest du dass es mehr sind?
Auf’n iPhone ist das Update 243MB groß, sollte also passen

Dante2000 · 19. August 2022

Danke für die Info. Bereiten bereits alles firmenweit vor, damit es am Montag per Push-Update an ein paar Tausend Mitarbeitergeräte verteilt wird.

gustlegga · 19. August 2022

BorstiNumberOne schrieb:
Wir haben bei uns auch gleich alles geupdated, alle sieben iPhones und das ipad. Von den AWs ist ja nur die 3er betroffen, von denen haben wir aber keine.

Das ist halt der Vorteil wenn alles aus einer Hand kommt.
Das Chaos in der Android Welt mag ich mir garnicht vorstellen.
Google mag da durchaus ausserhalb des normalen Patchdays was auf seine Pixel pushen können, aber bis der ganze Rest mal in die Gänge kommt... oder es dann wie zB bei meinem günstigen Galaxy S6 Lite Tablet (auf dem aber eh Lineage läuft) zwar 4 Jahre Updates gibts aber das nur jedes Quartal.....

BorstiNumberOne schrieb:
Edit: Yeah, 3K Beiträge erreicht. 😁

Glückwunsch.
Nur noch 72 bis zur Beförderung.

whigga · 19. August 2022

gustlegga schrieb:
[...]
https://www.cvedetails.com/product/15556/Apple-Iphone-Os.html?vendor_id=49
während man das Google OS als Virenschleuder in der Art einer Ebola-Station hinstellt.[...]
Gut, bei Android siehts natürlich allein schon durch den offeneren Ansatz und der größeren Verbreitung schlechter aus, hier der Vollständigkeit halber auch noch der Link dazu
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224
und was mehr verbreitet ist, da wird natürlich auch mehr gesucht.

Ich verstehe nicht, warum du das im Falle von Android jetzt versuchst zu relativieren. Ja, es gibt deutlich mehr Android-Geräte. Ja es gibt deutlich mehr veraltete Android-Geräte. Ja, größere Verbreitung bringt mehr Schadcode, weil lukrativer/erfolgsversprechender. Und genau das macht das OS für den User am Ende des Tages "sicherer" oder "unsicherer". Da zählt halt einfach das Ergebnis.

gustlegga · 19. August 2022

@whigga
Ich relativiere gar nichts. Ich weiß selber wo die Probleme bei Android im Vergleich zu iOS liegen.
Du wiederholst ja sogar die Dinge die ich anführe woran es an Android krankt.
Mir geht nur das gehörig auf den Zeiger das manch Hardcore Applefans hier immer so tun als wär ein Androide verseucht sobald man das System das erste mal mit dem Netz verbindet und alles aus Cupertino ist das Fort Knox der IT-Welt.....

Cool Master · 19. August 2022

gustlegga schrieb:
Die größte Lücke bei Apple sind ihre AnwenderInnen, wie man seinerzeit bei den iCloud Leaks der Promis gesehen hat...^^

Das Problem hast du überall. Social Engineering ist eins der mächtigsten Werkzeuge von dem niemand Immun ist. Siehe z.B. das Video, wie ein Milliardär gehackt wird:

Das ist also kein Apple Anwender Problem sondern ein menschliches Problem.

gustlegga schrieb:
Zum Teil ist das aber auch hausgemacht, weil man ja kaum über Probleme kommuniziert und dem User am liebsten das Denken abnimmt statt sie auch zur Eigenverantwortung anmahnt.

Ist das bei Windows nicht auch der Fall? Da wird auch alles so verschleiert, dass man es bloß nicht sehen kann. Das fängt mit den Update Texten an die nach Schema "KB1234567890 behoben" anfängt und hört dabei auf, dass das Gerät einfach auf ein neues OS umgestellt wird obwohl man das nicht will.

Ja, Eigenverantwortung hat jeder bis zu einem gewissen Punkt aber gerade MS sollte mal lieber wieder eine Test-Abteilung einführen und ihrer Verantwortung gerecht werden und nicht die User Alpha- oder Beta-Tester spielen lassen.

gustlegga schrieb:
Seit 25 Jahren weiß jedes Kleinkind dass man mit einer Windowskiste ohne Malwareschutz lieber äusserst vorsichtig sein soll im Netz.....

Gut Windows ist aber auch einfach schlecht programmiert und es wird nicht besser. Das man heute auf Win 11 noch DOS Programme ausführen kann macht es auch nicht besser. Ich sage schon seit Jahren, dass MS 32-Bit Support einstellen sollte und den Kernel mal von 0 in 64 Bit neu aufbaut. Da könnte man ein recht sicheres OS bauen aber das wollen sie ja nicht. Aber ich habe eh das Gefühl, dass das nächste Windows ein Linux Kernel haben wird.

Egal ob ich ein Linux, macOS oder Windows habe verweise ich auf das Video oben. Man sieht wie schnell etwas passieren kann ohne, dass man etwas böses dabei denkt und das ist ohne aktives ausnutzen einer Zero-Day-Lücke wo dir auch der beste Malewareschutz nichts bringt.

Updaten gepaart mit Awareness ist der beste Schutz.

Incanus · 19. August 2022

gustlegga schrieb:
Mir geht nur das gehörig auf den Zeiger das manch Hardcore Applefans hier immer so tun als wär ein Androide verseucht sobald man das System das erste mal mit dem Netz verbindet und alles aus Cupertino ist das Fort Knox der IT-Welt.....

Das geht andersherum aber genauso, also einfach Trolle ignorieren.

Cool Master schrieb:
Das man heute auf Win 11 noch DOS Programme ausführen kann macht es auch nicht besser. Ich sage schon seit Jahren, dass MS 32-Bit Support einstellen sollte und den Kernel mal von 0 in 64 Bit neu aufbaut.

DOS Programme sind 16bit und deren Support wurde schon länger eingestellt.

SVΞN · 19. August 2022

Artikel-Update: Safari 15.6.1 schließt Lücken in macOS Big Sur und Catalina
Damit auch die Anwender von den macOS Big Sur und Catalina die neuesten Sicherheitsupdates erhalten, aktualisiert Apple den hauseigenen Browser Safari auch auf Systemen mit diesen Betriebssystemen auf die Version 15.6.1.

Damit wird auch unter macOS Big Sur und macOS Catalina die Sicherheitslücke CVE-2022-32893 in WebKit geschlossen, wie die offiziellen Release Notes von Safari 15.6.1 verraten.

WebKit

Available for: macOS Big Sur and macOS Catalina

Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.

Description: An out-of-bounds write issue was addressed with improved bounds checking.

WebKit Bugzilla: 243557

CVE-2022-32893: an anonymous researcher

Mit dem Release von macOS Venture werden auch macOS Monterey, Big Sur und Catalina den kommenden Browser Safari 16 erhalten.

News Gravierende Sicherheitslücken: Apple rät zu schnellem Update von iOS, iPadOS und macOS

Cadet 4th Year

Lt. Junior Grade

Rear Admiral

Captain

Ensign

Lt. Commander

Captain

Fleet Admiral

Captain

Rear Admiral

Captain

Commodore

Lt. Junior Grade

Commander

Captain

Lt. Commander

Captain

Fleet Admiral

Fleet Admiral

Redakteur a.D.

Ähnliche Themen

Passend zum Thema