2510485

iOS 13.5 und macOS 10.15.5 Catalina schließen Mail- und Bluetooth-Lücken

27.05.2020 | 16:40 Uhr | Halyna Kubiv

Mit der Veröffentlichung von macOS Catalina 10.15.5 sind auch die Details zu den geschlossenen Sicherheitslücken aufgetaucht.

Vor knapp einer Woche hat Apple seine mobilen Systeme für iPhone, iPad, Apple TV und Apple Watch aktualisiert, gestern Abend waren ebenfalls macOS Catalina und Sicherheitsupdates für die Vorgänger Mojave und High Sierra dran. Mit der Veröffentlichung von macOS 10.15.5 sind auch die Details zu den Sicherheitslücken bekannt geworden, die Apple damit behoben hat.

Besonders interessant sind die Einzelheiten zu den iOS-Lücken, die geschlossen wurden. Auf der Liste findet sich in etwa vierzig Einträge, traditionell sind mehrere geschlossenen Schwachstellen in Webkit und Kernel aufgelistet. Mit iOS 13.5 ist nachweislich der Mail-Bug geschlossen, der anscheinend erlaubt hat, den Zugang zu dem Mail-Konto ohne Zutun und Wissen des Nutzers zu gelangen . Dies hat vor einigen Wochen die Sicherheitsfirma ZecOps berichtet und davor gewarnt, dass das sämtliche iPhones so übernommen werden konnte. Auf solche Vorwarnungen reagiert Apple meist sehr zeitig, wenn nötig schaltet der Anbieter gleich die Server ab, die für die Funktion zuständig sind. In diesem Fall hat sich Apple Zeit gelassen, seit den ersten Berichterstattungen über die gefundenen Lücken wurde aber relativ still, uns sind auch keine spektakulären Übernahmen von fremden iPhones bekannt, die diese Bugs ausgenutzt haben.

Eine weitere potentiell gefährliche Schwachstelle wurde im Bluetooth-Protokoll gefunden: Ein Angreifer in unmittelbarer Nähe zum iPhone oder iPad konnte die Datenübertragung per Bluetooth abgreifen. Diese Lücke ist nun mit iOS 13.5 und allen anderen aktuellen Systemen behoben.

Offenbar hat Apple einen weiteren Fehler in Verarbeitung von Texten aufgespürt, eine Berichtigung in CoreText verhindert Absturz von den Anwendungen, die eine Nachricht mit präparierten Zeichen darstellen sollten. Im Dateisystem fand sich ein Fehler, der dem Angreifer erlaubte, auf Dateien zuzugreifen und diese zu ändern.

iOS 12.4.7 behebt lediglich drei Schwachstellen, darunter zwei, die den Mail-Client auf dem iPhone betroffen haben.

Bei macOS Catalina 10.15.5 findet sich eine ähnlich lange Liste von behobenen Fehlern mit knapp vierzig Einträgen, diese überschneiden sich nicht immer mit denen von iOS. So ist bei Catalina eine Bluetooth-Lücke behoben, die ist aber eine andere wie bei iOS 13.5. Deutlich länger ist dafür die Liste der geschlossenen WLAN-Lücken, die meisten davon betrafen auch die Vorgänger-Systeme von Mojave und High Sierra, nur unter Catalina fand sich ein Fehler in System Integrity Protection (SIP), ein Nutzer ohne entsprechende Rechte konnte Zugang zu erweiterten Netzwerk-Einstellungen erlangen.

Unter watchOS wurden die gleichen zwei Mail-Lücken geschlossen wie unter iOS 13.5, offenbar waren die Apple Watches von der Bluetooth-Schwachstelle nicht betroffen.

Macwelt Marktplatz

2510485