Die gestern Abend veröffentlichten "Punkt-Punkt-Releases" für iOS und iPadOS enthalten Fehlerbehebungen für eine Sicherheitslücke, die laut Apple bereits ausgenutzt wird. Das teilte der Konzern auf seiner Security-Updates-Website mit. Betroffen sind dabei sowohl iOS 18 und iPadOS 18 als auch iPadOS 17 (sowie vermutlich auch iOS 17, das Apple aber nicht mehr patcht). Nutzer sollten also dringend iOS 18.3.1 und iPadOS 18.3.1 respektive iPadOS 17.7.5 einspielen.
Anzeige
Der Bug steckt im Modul Accessibility, das für die Barrierefreiheit zuständig ist und hat mit dem eigentlich eingeschränkten USB-Zugriff auf das Gerät zu tun. Dieser Restricted Mode lässt sich über eine "äußerst anspruchsvolle" (O-Ton-Apple) Angriffsform umgehen, wobei das iPhone unter Verfügung des Angreifers sein muss. Entdeckt wurde der Fehler von der kanadischen Sicherheitsgruppe Citizen Lab an der University of Toronto. Diese dürfte in den kommenden Tagen Details auf ihrer Website veröffentlichen.
Laut Apple war der "physische Angriff" auf gesperrte Geräte möglich. Was genau damit durchgeführt werden konnte, bleibt unklar – der USB Restricted Mode gilt jedoch als erste Hürde, der das Abgreifen von Daten über den USB-C-Port verhindert. Auch denkbar wäre, dass auf diesem Weg Schadcode eingeführt werden konnte, doch Apple macht dazu keine Angaben. Was der Konzern jedoch sagt: Es gab laut Apple einen "Bericht, dass [darüber] spezifische Zielpersonen" angegriffen wurden. Um welche es sich handelt, ist ebenfalls unklar. Der Bug wurde über ein verbessertes "State Management" behoben, so Apple weiter. Nutzer von iPhones ab dem Modell XS, iPad Pro mit 11 und 13 Zoll sowie 12,9 ab der dritten Generation, iPad Air 3 und neuer, iPad 7 und neuer sowie iPad mini 5 und neuer erhalten Zugriff auf den Patch. Andere Modelle können iOS 18 (beziehungsweise iPadOS 17.7.5) nicht mehr ausführen und bleiben unsicher.
Apple hat neben iOS und iPadOS auch watchOS und visionOS aktualisiert – auf 11.3.1 beziehungsweise 2.3.1. Sicherheitsrelevante Fixes sollen diese aber nicht enthalten. Sonstige Angaben über Neuerungen macht Apple leider nicht – sehr störend, da man die Patches auf gut Glück einspielen muss, ohne zu wissen, was sie bringen.
Auch macOS 15.3.1, macOS 14.7.4 (Sonoma) und macOS 13.7.4 (Ventura), die gestern ebenfalls freigegeben wurden, enthalten laut Apple keine Sicherheitsupdates, dafür Fehlerbehebungen. Auch diese bleiben ungenannt, dabei umfassen die Aktualisierungen 2 GByte und mehr. Zuletzt waren Probleme mit macOS 15.3 im Zusammenhang mit Drittanbieter-Firewalls bekannt geworden. Ob diese nun gefixt sind, blieb zunächst unklar.
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen. Preisvergleiche immer laden
Kommentare