Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Apple OS-Updates und die Inkonsistenz im Schließen von Sicherheitslücken

Apple OS-Updates und die Inkonsistenz im Schließen von Sicherheitslücken

Remigius17.09.2413:48
Hallo liebe Forum-Gemeinschaft!

Ich habe mir mal die gestern erschienenen Updates hinsichtlich der geschlossenen Sicherheitslücken angeschaut. Das Apple ausschließlich alle bekannten Lücken nur in den jeweils aktuellsten OS-Versionen schließt, wird ja seit langem vermutet. Soweit mir bekannt ist, gibt es von Apple diesbezüglich kein offizielles Statement, falls dies doch jemand kennt, kann er diesen Thread ja gerne ergänzen. Das geradezu wahllos erscheinende Schließen von Lücken bzw. das offen lassen bei älteren Systemen ist für mich dennoch nach wie vor ein Rätsel, u.a. weil sich mir einfach nicht erschließt, warum sich Apple dann überhaupt die Mühe macht und es nicht gleich sein lässt oder aber die ohnehin auch in aktuellen Systemen identisch bekannt Lücken dennoch gleich mitschließt? Hier mal eine Übersicht über die Anzahl der geschlossenen Lücken:

macOS 10.15 (Sequoia): 79

iOS / iPadOS 18: 33

tvOS 18: 11

watchOS 11: 11

Safari 18 (für Ventura und Sonoma): 3

iOS / iPad OS 17.7: 16

macOS 14.7: 37 (inkl. der 3 von Safari, insgesamt 40)

Viele Lücken sind systemübergreifend geschlossen, manche offenbar System/hardwareabhängig. In iOS 18 und macOS 15 sind jedoch auffallend viele geschlossene Lücken, die bei den Vorgängern nicht erwähnt werden, aber offenbar dennoch vorhanden sind. Ein Beispiel:
Lücke CVE-2024-44147 für iOS/iPadOS 18 beschreibt folgendes:

NetworkExtension

Impact: An app may gain unauthorized access to Local Network

Description: This issue was addressed through improved state management.

Wenn man nach dieser Lücke googelt, erhält man u.a. diese Detailinfos:
Diese Webseite listet dort so ziemlich alle iOS-Versionen seit 10.x auf, inkl. iOS 14.7, die von dieser Lücke betroffen sind!

Die folgende Webseite gibt den Risk-Level dieser Lücke unter CVSS v2 als "Medium" und unter CVSS v3 als "High" an:

Versteht das irgendeiner? Offenbar lassen sich die, zumindest basierend auf den in aktuellen tatsächlich geschlossenen Lücken, auftretenden "Gefahren" von Vorgänger-Betriebssystemen nur sehr schwer einschätzen...
0

Kommentare

Es sind keine Einträge vorhanden.
Sie müssen sich einloggen, um sich an einer Diskussion beteiligen zu können.