Apple gibt iOS 15.7.9, iPadOS 15.7.9, macOS 12.6.9 und macOS 11.7.10 frei
Letzte Woche gab Apple iOS 16.6.1, iPadOS 16.6.1 und macOS 13.5.2 frei und schloss mit der Aktualisierung eine aktiv ausgenutzte, äußerst kritische Sicherheitslücke: Ein präpariertes Bild, verschickt über iMessage, diente in Zusammenspiel PassKit als Einfallstor. Das Tückische: Es ist keine Nutzerinteraktion wie das Öffnen des Bildes oder das Laden einer Web-Adresse vonnöten, um die Schwachstelle mit dem Namen "BLASTPASS" auszunutzen. Der erste Teil des Namens stammt von Apples Bezeichnung der lokalen iMessage-Schutzmechanismen ("BlastDoor"), der zweite Teil von der Programmierschnittstelle "PassKit".
Die bekannte Spyware "Pegasus" der NSO-Group nutzte diese Lücke, um iPhone-, iPad- und Mac-Nutzer auszuspähen. Pegasus ist eine Software, welche sich offiziell ein Regierungsbehörden richtet und es erlaubt, Daten unter von Apple-Geräten auszuspähen. Außerhalb der NSO-Group wurde die Sicherheitslücke vom "Citizen Lab at The University of Torontoʼs Munk School" ausgemacht und an Apple gemeldet.
Nun auch für ältere GeräteApple hat soeben eine ganze Reihe von Aktualisierungen für ältere Betriebssystemversionen freigegeben. So steht ab sofort mit iOS 15.7.9 und iPadOS 15.7.9 ein Update für ältere iPhone- und iPad-Modelle bereit, welche sich nicht auf iOS 16 aktualisieren lassen. Auch für ältere Macs hat Apple Updates herausgegeben: macOS 12.6.9 Monterey und macOS 11.7.10 Big Sur schließen die Sicherheitslücke, welche die NSO Group aktiv ausnutzte.
Aktuell ist unbekannt, ob noch ältere Betriebssystemversionen von der "BLASTDOOR"-Schwachstelle betroffen sind. Apple wird aber aller Voraussicht nach sowieso keine Aktualisierungen für noch ältere macOS- oder iOS-Versionen herausgeben, selbst wenn die Lücke auch hier vorhanden ist.
Installieren?Es ist zwar unwahrscheinlich, Ziel eines Angriffs über die Pegasus-Spyware zu sein – dennoch ist die Installation anzuraten, da möglicherweise nun auch andere Hacker die beschriebene Lücke ausnutzen. Wer auf Nummer Sicher gehen will, wartet einige Tage, um zu überprüfen, ob die oben erwähnten Updates für Probleme sorgen.