Im Jahr 2023 stellte Apple macOS 14 (Sonoma) vor. Die neue Betriebssystemversion für Apple-Rechner brachte iOS-Widgets auf den Mac-Desktop und Profile für den Safari-Browser. Für viele Intel-Macs aus dem Jahr 2018 war es das letzte offizielle System-Upgrade. Auch heute, drei Jahre später, erhält dieses System noch gelegentliche Sicherheitsaktualisierungen, zuletzt am 11. Mai. Im Nachgang veröffentlichte Apple nun weitere Informationen zu den darin behobenen Sicherheitslücken.


Dabei beschränken sich Apples Ergänzungen nicht auf die neuesten Aktualisierungen, sondern durchziehen die Aktualisierungshistorie der vergangenen Monate. 9to5mac hat diese zusammengetragen. Sie sind in vielen Fällen nur in der englischen Version der Sicherheitshinweise vorhanden und fehlen noch in der deutschen Übersetzung.

Kalender, CoreServices und Anrufhistorie
In den gesammelten Änderungen tauchen einige Fehler in mehreren Systemen auf. So waren Apps offenbar in der Lage, eine Anrufhistorie des Nutzers teilweise auszulesen; dies versetzte entsprechend motivierte Programmierer in die Lage, Nutzer app-übergreifend zu identifizieren. Für die Entdeckung dankt Apple Rosyna Keller von Totally Not Malicious Software sowie Guilherme Rambo von Best Buddy Apps. Eine plattformübergreifende Lücke im Kalender erhält keine Beschreibung oder CVE-Nummer, aber eine Danksagung – ebenfalls für Totally Not Malicious Software. Zwei CoreServices-Fehler in macOS 14 wurden ebenfalls nachträglich anerkannt, unter anderem dankt Apple einem Sicherheitsforscher des TikTok-Anbieters ByteDance.

Wichtig für Reputation – und Bug Bounty?
Eine nachträgliche Ergänzung der Sicherheitshinweise von Aktualisierungen, die teilweise über ein halbes Jahr alt sind – was bringt das? Teilweise verzögern Software-Anbieter eine detaillierte Fehlerbeschreibung, um Malware-Entwicklern keine Ideen zu liefern; da es oftmals einige Zeit dauert, bis alle Anwender die Updates installiert haben, könnten publizierte Sicherheitslücken auf ungepatchten Systemen ausgenutzt werden. Andererseits bedeutet eine Erwähnung in Apples Sicherheitshinweisen auch als Fähigkeitsnachweis für viele Sicherheitsforscher. Schließlich zahlt Apple auch eine Belohnung für bedeutende Sicherheitslücken. In einigen Fällen müssen Entdecker im Nachgang dafür kämpfen, dass der Konzern die Schwere einer entdeckten Lücke anerkennt – und die Detektivarbeit angemessen würdigt.

Gesammelte Sicherheitshinweise
Bei den vielen Plattformen, die Apple gleichzeitig mit Softwareaktualisierungen versorgt, kann es manchmal schwerfallen, den Überblick zu wahren. Apple bietet in der eigenen Support-Seite mit der Kennziffer 100100 eine aktualisierte Liste sämtlicher veröffentlichter Sicherheitsupdates. Die Sicherheitshinweise sind verlinkt, sofern es diesbezüglich offizielle CVE-Einträge gibt. Über nachträgliche Änderungen innerhalb dieser Dokumente führt Apple allerdings nicht Buch – zumindest nicht öffentlich.