Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Lücke trotz Sicherheitsupdate: Apple behebt nicht alle Sicherheitsprobleme in vorherigen Versionen

Apples Update-Politik ist bei Smartphones und Tablets beispielhaft: Oftmals erhält ein Käufer über fünf Jahre und mehr nicht nur Sicherheitsupdates, sondern auch eine Menge neuer Funktionen. Käufer aus dem Android-Lager schielen häufig neidisch auf die kostenlosen Updates von Apple. Beim Mac versorgt Apple Kunden meist auch minimal fünf Jahre mit der aktuellen macOS-Version – und danach noch mit Sicherheitsupdates.


Ein ungeschriebenes Gesetz ist, dass Apple für die letzten beiden macOS-Versionen Sicherheitsupdates herausgibt. So erhalten aktuell macOS 10.15 Catalina und macOS 11 Big Sur noch "Security Updates", macOS 10.14 Mojave hingegen nicht mehr. Bei iOS handhabt Apple dies normalerweise anders: Beispielswiese wurde die Unterstützung von iOS 13 mit dem Erscheinen von iOS 14 aufgegeben, da Apple mit iOS 14 keine Geräte aus der offiziellen Unterstützung wirft. Mit iOS 15 geht Apple einen anderen Weg: Da Apple die Nutzer weniger zum Umstieg drängt, unterstützt Apple iOS 14 vorerst weiter.

Nirgends kommuniziert
Leider handelt es sich hierbei um ein ungeschriebenes Gesetz: Apple nennt nirgends, wie lange und welche Versionen der Konzern mit Sicherheitsupdates zu versorgen gedenkt. Daher ist es sehr gut möglich, dass Apple diese informellen Regeln in Zukunft zu Gunsten oder Ungunsten der Kunden spontan anpasst. Aber auch schon jetzt gibt es Unregelmäßigkeiten, welche dazu führen, dass sich Kunden in falscher Sicherheit wiegen wie folgende Beispiele zeigen:

Sicherheitsupdates beinhalten nicht alle sicherheitsrelevanten Aktualisierungen der aktuellen Version
Die allermeisten Nutzer sind der Auffassung, dass ihr Mac mit Sicherheitsupdates genau so gut abgesichert ist wie mit der aktuellsten Betriebssystemversion. Doch dies ist leider nicht der Fall, wie Josh Long an einem Beispiel demonstriert. Die Sicherheitslücke CVE-2021-30869, welche wohl aktiv in China ausgenutzt wurde, korrigierte Apple im September 2021 in macOS Catalina mit dem Sicherheitsupdate 2021-006. Doch genau die gleiche Lücke behob Apple im damalig aktuellen Big Sur schon 234 Tage vorher (mit macOS 12.1), bevor das Sicherheitsupdate 2021-006 das Problem in Catalina ausräumte. Somit waren während dieser gesamten Zeit Nutzer von macOS Catalina angreifbar, obwohl laut Apples informellen Regeln Sicherheitsschutz bestand – Anwender mit macOS Big Sur waren hingegen sicher.

Kein Einzelfall
Der Sicherheitsforscher Josh Long machte sich nun die Arbeit und trug alle Patches zusammen, welche macOS 12 Monterey mitbrachte und welche Apple in macOS Big Sur und Catalina behob. Hier ist deutlich zu erkennen, dass viele Sicherheitsmängel in macOS Monterey behoben, in den Vorversionen aber weiterhin vorhanden sind:


Natürlich sind manche Sicherheitslücken auch erst mit der aktuellen macOS-Version entstanden, so dass dies keinen konkreten Rückschluss darauf zulässt, dass die Vorversionen in allen Punkten "verwundbar" sind. Dennoch zeigt es eindeutig, dass Apple einige Sicherheitsmängel nur in der aktuellsten macOS-Version korrigiert.

Auch iOS betroffen
Auch bei iOS behebt Apple nicht alle Sicherheitslücken in den Vorgängerversionen, wie eine ähnliche Aufstellung zeigt:


Viele Lücken, welche Apple mit iOS 15 und iOS 15.1 schloss, sind weiterhin in iOS 14 und iOS 12 vorhanden. Auch hier gilt natürlich, dass manche der Lücken erst durch Umbauten in iOS 15 entstanden sind – jedoch aller Wahrscheinlichkeit nach nicht alle.

Fazit
Nutzer wiegen sich aktuell in falscher Sicherheit, da Apple selbst Lücken, welche aktiv ausgenutzt werden, nicht oder nur stark verzögert in älteren Systemversionen ausräumt. Dem Sicherheitsforscher Josh Long nach sei es demnach am sichersten, die aktuellste Betriebssystemversion einzusetzen – auch wenn eine ältere Generation noch Sicherheitsupdates erhält. Nur so kommt man in den Genuss aller Sicherheitsfixes – Vorversionen erhalten nur einen Teil dieser.

Kommentare

Frank Drebin
Frank Drebin15.11.21 09:05
Naja, also ich finde wir als Apple Anwender sind aber echt verwöhnt mit Aktualisierungen alter Hardware. Wer Sicherheit haben will, muss halt die aktuellen macOS- und iOS-Versionen verwenden.
-9
F303
F30315.11.21 09:12
Frank Drebin
Naja, also ich finde wir als Apple Anwender sind aber echt verwöhnt mit Aktualisierungen alter Hardware. Wer Sicherheit haben will, muss halt die aktuellen macOS- und iOS-Versionen verwenden.

Halt schade, wenn das alte MacBook Pro von der Performance noch reicht, aber nicht mehr auf das aktuellste System aktualisiert werden kann. Das hat dann schon ein wenig etwas von gewollter Obsoleszens. Habe hier noch ein Mid 2012 Retina MBP, das für Web & Co. noch längstens reicht, aber max. auf Catalina läuft. Aber gerade für Web-Kontakt wäre eben aktuelle Sicherheit wichtig.
The brain is a wonderful organ. It starts working the moment you get up in the morning and does not stop until you get into the office. – Robert Frost
+18
MacSquint
MacSquint15.11.21 10:05
Frank Drebin
Naja, also ich finde wir als Apple Anwender sind aber echt verwöhnt mit Aktualisierungen alter Hardware. Wer Sicherheit haben will, muss halt die aktuellen macOS- und iOS-Versionen verwenden.

Es gibt nun mal ich Anwender, die Software und externe Hardware benutzen, die nicht mal eben so auf einem neuen OS läuft.
Durch diesen jährlichen macOS Irrsinn ist die Lage noch schwieriger geworden.
Es ist also nicht nur eine Frage des nicht Wollens sondern auch des nicht Könnens.
Computer sind halt was anderes als idevices sowohl hinsichtlich der Komolexität der dort verwendeten Software als auch der damit verbundenen Hardware
+8
Semmelrocc
Semmelrocc15.11.21 11:16
Natürlich sind manche Sicherheitslücken auch erst mit der aktuellen macOS-Version entstanden, so dass dies keinen konkreten Rückschluss darauf zulässt, dass die Vorversionen in allen Punkten "verwundbar" sind.
Damit steht und fällt allerdings der Informationswert dieser Tabellen. Wenn ein behobenes Problem in der Vorversion noch nicht existierte, muss es auch nicht gefixt werden.
+2
UWS15.11.21 11:37
Über die Frage, wie lange ein Hersteller seine Betriebssysteme mit Sicherheitsupdates versorgen sollte, kann man sicher trefflich streiten. Zumindest wäre es aber Apples Job seine Kunden zeitnah und sinnvoll darüber zu informieren, was gefixt wurde und was eben nicht. Wenn ich mir das erst mühsam zusammentragen muss wie oben (und das ist mglw noch nicht mal komplett), dann gute Nacht...
There is no cloud…it’s just someone else’s computer.
+5
jmh
jmh15.11.21 11:59
mitarbeitertaschen kontrollieren kostet halt zeit!
wir schreiben alles klein, denn wir sparen damit zeit.
+1
steve.it15.11.21 12:20
Der Artikel bestätigt genau das, was ich schon seit x-Jahren sage und an verschiedenen Stellen gepostet habe. Ich hatte von kritikunfähigen Apple-Anhängern auch auf Nachfrage noch nie eine Antwort erhalten, wo bei Apple schriftlich steht, wie lange macOS Support erhält. Dieses "ungeschriebene Gesetz" ist nämlich wirklich ungeschrieben und wurde mit sehr hoher Wahrscheinlichkeit schon mehrfach in der Vergangenheit nicht eingehalten (ich kann mich leider an die konkreten Fälle nicht mehr erinnern, nur noch düster an einen Fall, in dem nur die damals aktuelle Version über lange Zeit ein Update erhielt). Für alte Versionen hat man keine Garantie, dass diese immer alle benötigten Updates erhalten. Aufgrund der Intransparenz und häufig dürftigen Releasenotes ist das Nachprüfen für einen normalen User extrem schwierig bis unmöglich.
Frank Drebin
Naja, also ich finde wir als Apple Anwender sind aber echt verwöhnt mit Aktualisierungen alter Hardware. Wer Sicherheit haben will, muss halt die aktuellen macOS- und iOS-Versionen verwenden.
Was ist das denn für einen Aussage. Widerspruch in sich.

Außerdem stimmt das nicht. Der Support von macOS ist am kürzesten. Windows und vor allem Linux bieten deutlich längeren Support und das _mit_ Security-Updates. Ist aber auch nichts neues. Der Artikel bestätigt es nur endlich mal.
+4
fleissbildchen15.11.21 17:43
Ehrlich gesagt finde ich es fragwürdig, dass die Festlegung der Zeiträume überhaupt Apple überlassen bleibt.

Ich finde, eine Sicherheitslücke stellt einen (später bekannt gewordenen) Produktmangel dar, der die Nutzung des Produktes gefährlich für den Nutzer macht. Wenn der Hersteller des Produktes davon Kenntnis erhält, dann müsste er verpflichtet sein, den Mangel schnellstmöglich zu beheben, egal wie alt das Produkt ist.

Sammelklage, anyone?
+3
Frank Tiger
Frank Tiger15.11.21 21:51
Ich bin der Meinung, dass Apple Macs viel länger unterstützen sollte, schließlich ist die Hardware teuer und qualitativ hochwertig. Apple sollte sich hier mal ein Beispiel an Microsoft nehmen. Geräte, die vor 10 Jahr oder mehr Jahren mit Windows 7 verkauft wurden, werden noch immer unterstützt, da Windows 10 darauf läuft, für das man noch die nächsten 5 Jahre Updates erhalten wird. Von 15 Jahren Updates können wir als Apple-Nutzer nur träumen. Ich hoffe, dass Apple hier umdenkt, wenigstens was Sicherheits-Updates angeht.
+4
steve.it16.11.21 10:46
Das Thema ist sehr wichtig und kaum Kommentare. Genau deswegen kann sich Apple so etwas leisten.
Man liest ja leider immer wieder, dass es User gibt, die überhaupt keine Bedenken haben ihre Macs ohne Updates weiter zu nutzen (Unwissenheit/Piorisierung/Hinnehmen...). Der Stellenwert des Themas ist bei vielen Usern leider noch nicht angekommen.

Ein Unding, was sich der "Premiumhersteller" Apple leistet.

Es gibt Gründe, warum man nicht immer direkt die neuste Version nutzen möchte/kann:
- neue Version ist noch "unreif"
- Benötigte Software und Hardware wird (noch) nicht unterstützt oder läuft "unrund"
- Der verwendete Mac wird von der aktuellen macOS Version nicht mehr unterstützt
- Bedenken aufgrund von CSAM und anderen fragwürdigen/grenzwertigen Entwicklungen (hier muss einem aber klar sein, dass man früher oder später auf die aktuelle Version wechseln muss)

Aus solchen Gründen sollte sich auch auf ganz neuen Macs noch die letzte Version vor der aktuellen macOS-Version installieren lassen. Beispiel: Auf einem M1 Max sollte man noch Big Sur installieren können.

Apple Geräte sind keine Billiggeräte. Der Support wird aber bei dem Thema schlecht gehandhabt, wie man sieht. Und auch bei Billggeräten sollte dies nicht so sein (und da kann der Anwender i.d.R. eigentlich selber Windows- und Linux-Updates einspielen, unabhängig vom PC- bzw. Laptop Hersteller). Apple äußert sich nicht klar und offiziell zum Support von älteren macOS-Versionen hinsichtlich Sicherheitsupdates.

Apple müsste klar kommunizieren, wie lange eine macOS-Version unterstützt wird + aktueller Status.

Aus meiner Sicht sollte mindestens neben der aktuellen Version die letzten zwei Versionen unterstützt werden (und das gleichwertig zur aktuellen Version). Also das ungeschriebenes Gesetz wirklich umsetzten und offiziell machen (beides ist nicht der Fall).
+3

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.