ifun.de — Apple News seit 2001. 39 303 Artikel

Apple hat nur Monterey gefixt

Zero-Day-Schwachstellen: Big Sur und Catalina weiter gefährdet

Artikel auf Mastodon teilen.
22 Kommentare 22

Mit der vergangene Woche veröffentlichten macOS-Version 12.3.1 hat Apple zwei sogenannte Zero-Day-Schwachstellen gestopft. Nutzern von älteren Betriebssystemen sind vor entsprechenden Angriffen bislang jedoch nicht geschützt.

Als „Zero Day“ bezeichnet eine Sicherheitslücke, die bereits aktiv von Malware oder Spionagesoftware ausgenutzt wird und dementsprechend ein besonders hohes Gefahrenpotenzial für den Anwender birgt. Wie Apple in seinen Informationen zum Sicherheitsinhalt von macOS Monterey 12.3.1 bestätigt, ist dies bei den mit diesem Update behobene Fehlern mit den Kennnummern CVE-2022-22675 und CVE-2022-22674 der Fall.

Macos Zero Day CVE 2022 22675

Kritik von Sicherheitsforschern

Die Sicherheitsforscher von Intego kritisieren nun, dass Apple den Fehler zwar für macOS Monterey behoben habe, seine Kunden, die noch mit macOS Big Sur oder macOS Catalina arbeiten, jedoch im Regen stehen lasse. Intego schätzt den Anteil der noch mit diesen älteren Versionen des Mac-Betriebssystems arbeitenden Apple-Nutzer auf stolze 35 bis 40 Prozent.

Allerdings würden wir den aktuellen Status keinesfalls als abschließend bewerten. Apple hat schon in der Vergangenheit so agiert, dass die aktuellen Versionen der Betriebssysteme vorrangig behandelt wurden, gravierende Fehler und Schwachstellen mit etwas Zeitverzug dann allerdings auch noch bei älteren Systemversionen behoben wurden. Somit ist es sehr wahrscheinlich, dass die betreffenden Updates für macOS Big Sur und macOS Catalina als ergänzende Sicherheitsupdates in Kürze nachgeliefert werden.

macOS 12.4 bereits im Beta-Test

Unabhängig davon hat Apple bereits die erste Beta-Version von macOS 12.4 für Entwickler freigegeben und as Update sollte in Kürze auch über Apples öffentliches Beta-Programm verfügbar sein. Macht euch hier keine Hoffnungen auf großartige neue Funktionen, vielmehr dürfte Apple mit den aktuell veröffentlichten Updates weiter bemüht sein, Fehler auszubügeln und Probleme mit neuen Funktionen wie der gemeinsamen Nutzung von Eingabegeräten über mehrere Geräte hinweg mithilfe von „Universal Control“ zu beheben.

06. Apr 2022 um 11:04 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    22 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Es gibt ja noch etliche Macs, die ja eigentlich noch gut sind, aber kein Update auf Monterey bekommen. Weil Baum.

  • Mein MacBook Pro 16″ mit M1 Pro ist bei 12.3 und gilt laut Einstellungen/Softwareupdate als aktuell? Was mache ich falsch?

  • Allerdings würden wir den aktuellen Status keinesfalls als abschließend bewerten. Apple hat schon in der Vergangenheit so agiert, dass die aktuellen Versionen der Betriebssysteme vorrangig behandelt wurden, gravierende Fehler und Schwachstellen mit etwas Zeitverzug dann allerdings auch noch bei älteren Systemversionen behoben wurden.

    Ist aber trotzdem irgendwie schei** , vor allem wenn die 35 – 40% von Intego richtig geschätzt sind.
    Und auch wenn ich kein Programmierer bin, kann ich mir nicht vorstellen das diese CVEs bei BigSur und Catalina so fundamental anders zu beheben wären als bei Monterey!

    • Dem kann man nur beipflichten. Zero Day heißt: Es pressiert. Da ist auch ein Bereitstellen erst nach ein paar Wochen nicht akzeptabel, weil die Lücke in der Zwischenzeit schon ausgenutzt werden kann.

    • Muss man verstehen, Apple ist halt eine so kleine Firma mit sowenig „man power“ das das gleichzeitige arbeiten an 2 oder mehr „OSe“ sie einfach überfordert..

      Muss man Verständnis haben auch wenn es sich um existenzielle Lücken handelt.

  • Die Zero-Day-Definition ist leider nicht korrekt. Merkmal ist hier nicht die Ausnutzung sondern dass sie unbekannt sind und/oder keine Patches existieren.

    • Korrekte Definition: Ein Zero Day ist eine veröffentlichte Sicherheitslücke, die nicht zunächst nur an den Hersteller gemeldet wurde (so dass dieser einen Patch entwickeln konnte), sondern gleich an die Öffentlichkeit. Womit Hacker einen großen Zeitvorteil haben, die Lücke auszunutzen, bis der Hersteller gepatcht hat.

      • Quelle? Meine Definition ist aus Wikipedia EN, die auch mit der kürzeren Definition von Wikipedia DE passt. Aber da es da keine Partei gibt, die die endgültige Definitionshoheit über den Begriff hat, werden wir hier wohl keine Einigkeit herstellen können.

      • Zitat aus der deutschen Wikipedia: „Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt. Entwickler haben dadurch keine Zeit („null Tage“, englisch zero day), die Software so zu verbessern, dass der Exploit unwirksam wird, um Nutzer zu schützen. Entdeckt eine Person eine Sicherheitslücke und meldet sie nicht dem Software-Hersteller, sondern entwickelt einen Exploit, um diese auszunutzen, wird die Schwachstelle der Software oft erst lange nach dem ersten Angriff bekannt.“

      • Danke für die Richtigstellung.

  • Hat Apple nicht meistens in letzter Zeit erst Monterey mit Sicherheitspatches versehen und dann ein paar Tage später Big Sur und Catalina gleichzeitig? Ist doch das typische Procedere bei Apple bei vergleichsweise „kurzfristigen“ Sicherheitspatches. Nur bei längerfristg geplante Anpasssujgen zum Beispiel vor einer Keynote, wo neue Hardware vorgestellt wird mit nötigen Softwareanpassungen erscheinen die Updates sehr kurz hintereinander. Ich nehme an, dass Apple entweder die Nutzer auf die neues Version drängen will – oder viel wahrscheinlicher: Mal wieder irgendwo ein Nadelöhr in ihrer Softwareentwicklung besteht. Dieses kleine unbedeutende Garagenunternehmen scheint ja durchaus in der Softwareentwicklung personell nicht sonderlich üppig ausgestattet zu sein. Ist doch Apple egal, wenn die Maschinen reihenweise „kippen“.

    Das Big Sur und Catalina nicht gepached werden, halte cih für sehr unwahrtscheinlich, da die beiden Systeme ja noch mit Updates versehen werden.

    Ich entsinne mich an die One-Man-Projekte, wo bestimmte Software von genau einem Entwickler geschrieben wird, das Festplattendienstürogramm zum Beispiel stand mal im Verdacht, so ein One-Man-Projekt zu sein. Irgendwann ist das man neu geschrieben worden und dann fehlte erst mal die Hälfte … ist schon ne Weile her.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39303 Artikel in den vergangenen 8433 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven