Update-Flut: Apple schließt aktiv genutzte Sicherheitslücken

Neben macOS 11.3.1, iOS 14.5.1 und iPadOS 14.5.1 hat Apple am Montagabend auch das Betriebssystem der Apple Watch aktualisiert und bietet dieses nun in Ausgabe 7.4.1 zum Download an.

Manipulierte Webinhalte

Alle Betriebssystem merzen dabei unter anderem die selbe WebKit-Sicherheitslücke (CVE-2021-30665) aus, was der nahen Verwandtschaft der Geräte untereinander geschuldet ist.

Diese wurde nach Angaben Apples in freier Wildbahn bereits aktiv für Angriffe auf verwundbare Systeme ausgenutzt und betrifft, was die Computeruhr angeht, alle Modelle ab der Apple Watch Series 3.

Bei diesen sei es laut Apple möglich gewesen, durch die Manipulation von Webinhalten „in böser Absicht“ nahezu beliebigen Code auszuführen. Spezifisch will Apple ein Speicherkorruptionsproblem durch eine verbesserte Zustandsverwaltung behoben haben.

Noch in der Nacht zum Dienstag hat Apple mehrere Support-Einträge zu den gestern freigegebenen System-Aktualisierungen veröffentlicht, die die ausgespielten Security-Updates genauer beschreiben und Hintergründe zu den geschlossenen Sicherheitslücken liefern.

Wie üblich lässt sich das Apple Watch-Update über die Watch-App auf dem iPhone übertragen und installieren.

Zwei Safari-Lücken auf dem iPhone

iOS 14.5.1 ging neben der beschriebenen WebKit-Lücke noch eine weitere Safari-Schwachstelle an (CVE-2021-30663), die ebenfalls dazu führen konnte, dass Apples Smartphones beliebigen Fremdcode ausführen konnten. Auch hier waren Apple Berichte bekannt, nach denen die Schwachstelle bereits aktiv ausgenutzt wurde.

Apples neue Support-Artikel:

• Über die Sicherheitsinhalte von iOS 14.5.1 und iPadOS 14.5.1
• Über die Sicherheitsinhalte von iOS 12.5.3
• Über die Sicherheitsinhalte von watchOS 7.4.1
• Über die Sicherheitsinhalte von macOS Big Sur 11.3.1