2353362

macOS 10.13.5, iOS 11.4 schließen Efail-Lücke

04.06.2018 | 13:33 Uhr | Halyna Kubiv

Die beiden Clients waren von den veröffentlichten Schwachstellen besonders betroffen, nun gibt es Entwarnung.

Ungewöhnlich lang hat sich Apple Zeit mit macOS 10.13.5 gelassen: Statt die Version gleichzeitig mit anderen Betriebssystemen am vergangenen Dienstag zu veröffentlichen, ging die neue Fassung des Mac-Betriebssystems erst am Freitag Abend MESZ online. Gleichzeitig damit hat Apple wie gewöhnlich die Sicherheitsnotizen für alle Betriebssysteme veröffentlicht. Diesmal fanden sich auffällig viele Lücken bei Kernel, bei den Grafik-Treibern, in der Firmware, bei den Bluetooth-Modulen. Interessant sind vor allem zwei geschlossene Sicherheitsfehler in Mail und unter Security, diese behandeln das Verhalten von verschlüsselten Inhalten in Mail. Apple beschreibt sie pauschal als eine Möglichkeit, Inhalte einer mit S/MIME-verschlüsselten Mail doch noch zu entschlüsseln und lesen. Der Hersteller gibt an, Mail isoliert solche Inhalte besser.

Dies ist zwingend notwendig, denn schon letzte Woche haben die Entwickler angemerkt , Mail an Mac lädt die HTML-Inhalte selbst dann, wenn diese Einstellung deaktiviert wurde. Der Download solcher Inhalte machte ebenfalls das Auslesen der verschlüsselten Mails möglich. Einer der Finder der Efail-Lücke, Sebastian Schinzel, bestätigt uns auf Anfrage, Apple habe mit dem letzten Update das Nachladen der HTML-Inhalte geändert: "Die Patches führen dazu, dass die Lücken nicht mehr ohne Benutzerinteraktion ausgenutzt werden können. Sollten in verschlüsselten E-Mails jetzt externe Ressourcen vorhanden sein, so werden diese nur geladen, wenn der Benutzer explizit zustimmt." Die besprochene Einstellung findet sich unter "Mail – Einstellungen – Darstellung – Entfernte Inhalte in Nachrichten laden". Das gleiche Update steht ebenfalls den Nutzern von macOS 10.12 Sierra und macOS 10.11 El Capitan zur Verfügung. Die Beschreibung aller Sicherheitslücken, die mit dem aktuellen Updaten geschlossen wurden, findet sich im Support-Artikel von Apple. Die beiden Fehler wurden auch unter iOS 11.4 behoben.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2353362