Die Cyber-Sicherheitsbehörde CISA warnt vor einer alten Kernel-Schwachstelle in Apple-Betriebssystemen, für die bereits ein Patch vorliegt. Es gebe Hinweise auf aktive Ausnutzung der Sicherheitslücke, teilte die Behörde jetzt mit. Sie hat den Bug deshalb in ihren Katalog für „Known Exploited Vulnerabilities“ aufgenommen, wodurch US-Behörden nun angehalten sind, ihre Geräte zu patchen – oder diese nicht länger einzusetzen, falls es dafür keine Updates mehr gibt. Die als CVE-2022-48618 geführte und als schwer eingestufte Schwachstelle erlaubt es einem Angreifer mit erweiterten Lese- und Schreibrechten, den Sicherheitsmechanismus Pointer Authentication zu umgehen, wie Apple erst vor Kurzem mitteilte. Der Bug sei durch verbesserte Prüfungen behoben worden. Auf den Fehler war der Konzern offenbar selbst gestoßen. Die Lücke wurde demnach bereits mit den Updates iOS 16.2, iPadOS 16.2, macOS 13.1, watchOS 9.2 und tvOS 16.2 im Dezember 2022 behoben. Einen entsprechenden Nachtrag in seinen Sicherheitshinweisen pflegte Apple aber erst Anfang Januar 2024 nach und wies dort auch darauf hin, dass die Lücke „möglicherweise für iOS-Versionen ausgenutzt wurde, die vor iOS 15.7.1 veröffentlicht wurden“. Zwar liefert Apple auch noch sporadisch Updates für iOS 15, ein Patch für CVE-2022-48618 ist aber nicht dokumentiert, entsprechend bleibt unklar, ob die Lücke dort weiter offensteht. Apple versorgt zwar auch ältere Betriebssysteme weiter mit Sicherheits-Updates, alle bekannten Schwachstellen werden aber nur in der jeweils allerneuesten Version beseitigt, derzeit also iOS 17 und macOS 14 Sonoma. Einst populäre iPhone-Reihen wie das iPhone 6s und iPhone 7 laufen maximal mit iOS 15, auch iPads wie das iPad Air 2 können nicht auf iPadOS 16 oder neuer aktualisiert werden.
