Apple hat nur Monterey gefixt
Zero-Day-Schwachstellen: Big Sur und Catalina weiter gefährdet
Mit der vergangene Woche veröffentlichten macOS-Version 12.3.1 hat Apple zwei sogenannte Zero-Day-Schwachstellen gestopft. Nutzern von älteren Betriebssystemen sind vor entsprechenden Angriffen bislang jedoch nicht geschützt.
Als „Zero Day“ bezeichnet eine Sicherheitslücke, die bereits aktiv von Malware oder Spionagesoftware ausgenutzt wird und dementsprechend ein besonders hohes Gefahrenpotenzial für den Anwender birgt. Wie Apple in seinen Informationen zum Sicherheitsinhalt von macOS Monterey 12.3.1 bestätigt, ist dies bei den mit diesem Update behobene Fehlern mit den Kennnummern CVE-2022-22675 und CVE-2022-22674 der Fall.
Kritik von Sicherheitsforschern
Die Sicherheitsforscher von Intego kritisieren nun, dass Apple den Fehler zwar für macOS Monterey behoben habe, seine Kunden, die noch mit macOS Big Sur oder macOS Catalina arbeiten, jedoch im Regen stehen lasse. Intego schätzt den Anteil der noch mit diesen älteren Versionen des Mac-Betriebssystems arbeitenden Apple-Nutzer auf stolze 35 bis 40 Prozent.
Allerdings würden wir den aktuellen Status keinesfalls als abschließend bewerten. Apple hat schon in der Vergangenheit so agiert, dass die aktuellen Versionen der Betriebssysteme vorrangig behandelt wurden, gravierende Fehler und Schwachstellen mit etwas Zeitverzug dann allerdings auch noch bei älteren Systemversionen behoben wurden. Somit ist es sehr wahrscheinlich, dass die betreffenden Updates für macOS Big Sur und macOS Catalina als ergänzende Sicherheitsupdates in Kürze nachgeliefert werden.
macOS 12.4 bereits im Beta-Test
Unabhängig davon hat Apple bereits die erste Beta-Version von macOS 12.4 für Entwickler freigegeben und as Update sollte in Kürze auch über Apples öffentliches Beta-Programm verfügbar sein. Macht euch hier keine Hoffnungen auf großartige neue Funktionen, vielmehr dürfte Apple mit den aktuell veröffentlichten Updates weiter bemüht sein, Fehler auszubügeln und Probleme mit neuen Funktionen wie der gemeinsamen Nutzung von Eingabegeräten über mehrere Geräte hinweg mithilfe von „Universal Control“ zu beheben.
Es gibt ja noch etliche Macs, die ja eigentlich noch gut sind, aber kein Update auf Monterey bekommen. Weil Baum.
Baum -> Papier -> Geld
Baum –> Kopf –> Bumm
Na gut.
Mein MacBook Pro 16″ mit M1 Pro ist bei 12.3 und gilt laut Einstellungen/Softwareupdate als aktuell? Was mache ich falsch?
Bisher nichts – 12.4 gibt’s aktuell „nur“ als Beta (siehe Text)
Ich denke er fragt da die aktuellste version 12.3.1 ist!
Genau! Es geht mir um 12.3.1, welches ich nicht finden kann.
Abwarten, Tee trinken bis 12.4 final wird.
Mein M1 MacBook ist noch bei 12.2 und da bleibt der auch erst mal bis Apple das Problem mit dem Updates auf 12.3 behoben hat, wenns Mainboard getauscht wurde.
Gut dass bei mir noch Mojave läuft……
Da ist doch die sicherheitslücke auch noch offen
Allerdings würden wir den aktuellen Status keinesfalls als abschließend bewerten. Apple hat schon in der Vergangenheit so agiert, dass die aktuellen Versionen der Betriebssysteme vorrangig behandelt wurden, gravierende Fehler und Schwachstellen mit etwas Zeitverzug dann allerdings auch noch bei älteren Systemversionen behoben wurden.
Ist aber trotzdem irgendwie schei** , vor allem wenn die 35 – 40% von Intego richtig geschätzt sind.
Und auch wenn ich kein Programmierer bin, kann ich mir nicht vorstellen das diese CVEs bei BigSur und Catalina so fundamental anders zu beheben wären als bei Monterey!
Dem kann man nur beipflichten. Zero Day heißt: Es pressiert. Da ist auch ein Bereitstellen erst nach ein paar Wochen nicht akzeptabel, weil die Lücke in der Zwischenzeit schon ausgenutzt werden kann.
Muss man verstehen, Apple ist halt eine so kleine Firma mit sowenig „man power“ das das gleichzeitige arbeiten an 2 oder mehr „OSe“ sie einfach überfordert..
Muss man Verständnis haben auch wenn es sich um existenzielle Lücken handelt.
Die Zero-Day-Definition ist leider nicht korrekt. Merkmal ist hier nicht die Ausnutzung sondern dass sie unbekannt sind und/oder keine Patches existieren.
Korrekte Definition: Ein Zero Day ist eine veröffentlichte Sicherheitslücke, die nicht zunächst nur an den Hersteller gemeldet wurde (so dass dieser einen Patch entwickeln konnte), sondern gleich an die Öffentlichkeit. Womit Hacker einen großen Zeitvorteil haben, die Lücke auszunutzen, bis der Hersteller gepatcht hat.
Quelle? Meine Definition ist aus Wikipedia EN, die auch mit der kürzeren Definition von Wikipedia DE passt. Aber da es da keine Partei gibt, die die endgültige Definitionshoheit über den Begriff hat, werden wir hier wohl keine Einigkeit herstellen können.
Zitat aus der deutschen Wikipedia: „Zero-Day-Exploit nennt man einen Exploit, der eingesetzt wird, bevor es einen Patch als Gegenmaßnahme gibt. Entwickler haben dadurch keine Zeit („null Tage“, englisch zero day), die Software so zu verbessern, dass der Exploit unwirksam wird, um Nutzer zu schützen. Entdeckt eine Person eine Sicherheitslücke und meldet sie nicht dem Software-Hersteller, sondern entwickelt einen Exploit, um diese auszunutzen, wird die Schwachstelle der Software oft erst lange nach dem ersten Angriff bekannt.“
Danke für die Richtigstellung.
Hat Apple nicht meistens in letzter Zeit erst Monterey mit Sicherheitspatches versehen und dann ein paar Tage später Big Sur und Catalina gleichzeitig? Ist doch das typische Procedere bei Apple bei vergleichsweise „kurzfristigen“ Sicherheitspatches. Nur bei längerfristg geplante Anpasssujgen zum Beispiel vor einer Keynote, wo neue Hardware vorgestellt wird mit nötigen Softwareanpassungen erscheinen die Updates sehr kurz hintereinander. Ich nehme an, dass Apple entweder die Nutzer auf die neues Version drängen will – oder viel wahrscheinlicher: Mal wieder irgendwo ein Nadelöhr in ihrer Softwareentwicklung besteht. Dieses kleine unbedeutende Garagenunternehmen scheint ja durchaus in der Softwareentwicklung personell nicht sonderlich üppig ausgestattet zu sein. Ist doch Apple egal, wenn die Maschinen reihenweise „kippen“.
Das Big Sur und Catalina nicht gepached werden, halte cih für sehr unwahrtscheinlich, da die beiden Systeme ja noch mit Updates versehen werden.
Ich entsinne mich an die One-Man-Projekte, wo bestimmte Software von genau einem Entwickler geschrieben wird, das Festplattendienstürogramm zum Beispiel stand mal im Verdacht, so ein One-Man-Projekt zu sein. Irgendwann ist das man neu geschrieben worden und dann fehlte erst mal die Hälfte … ist schon ne Weile her.
Hab noch Sierra. XD
Mein G4 ist noch auf Tiger ;-)