Als iOS 16.1.2 am 30. November erschien, waren wir uns nicht ganz sicher, warum Apple nicht bis iOS 16.2 warten konnte, das direkt um die Ecke lag. Damals hieß es in den Veröffentlichungsnotizen von Apple, das Update enthalte Verbesserungen für die Absturzerkennung des iPhone 14 und unscheinbare Aktualisierungen für den Netzbetreiber, die beide nicht sehr dringend erschienen.
Aber es gab einen versteckten Grund für Apple, das Update zum richtigen Zeitpunkt zu veröffentlichen. In den Sicherheits-Updates von Apple tauchte iOS 16.1.2 zwar als getrennter Eintrag auf, doch der Entwickler versprach, die Details dazu später zu veröffentlichen. Dieses Versprechen hat Apple vorgestern eingehalten.
Die Aktualisierung behebt eine Zero-Day-Schwachstelle in Apples WebKit-Engine für Safari, die es einem Hacker ermöglichen könnte, beliebigen Code auf Ihrem Mac oder iPhone auszuführen. Die Schwachstelle bestand darin, dass die Webkit-Engine die Ressourcen einer Webseite als einen Typ des Codes – Objekt, Variable etc. – zugewiesen hat, später aber die gleiche Ressource als einen anderen Code-Typ aufgerufen hat. Dies könnte dazu führen, dass durch diesen Fehler ein beliebiger Code ausgeführt wird. Heimdal Security vermutet, dass der Fehler für Social Engineering ausgenutzt wurde. Apple bestätigt zudem, dass der Fehler „bei iOS-Versionen älter als iOS 15.1“, aktiv ausgenutzt wurde. Es handelt sich also um eine Zero-Day-Lücke, die erst nach ihrer Ausnutzung geschlossen wurde.
Die Schwachstelle (klassifiziert als CVE-2022-42856) wurde im Rahmen des Bugzilla-Programms von Clément Lecigne von Googles Threat Analysis Group gefunden. Nach Angaben von Bleeping Computer ist dies die 10. Zero-Day-Schwachstelle, die Apple im Jahr 2022 behoben hat.
Der Grund, warum Apple die genauen Informationen zum iOS-16.1.2-Update vorenthalten hat, ist ebenfalls klar: Die gleiche Lücke findet sich in den Sicherheitsnotizen zu macOS 13.1, iOS 15.7.2, den älteren macOS-Versionen wie Big Sur und Monterey und in tvOS 16.2. All diese Updates hat Apple erst vorgestern ausgerollt, die Infos zu der bei iOS 16.1.2 geschlossenen Lücke würden die Hinweise weiteren Hackern geben und so unnötig die Nutzer dieser Systeme gefährden.
Einige Teile dieses Artikels stammen von unserer Schwesterpublikation „Macworld“ und wurden aus dem Englischen übersetzt.