Lücke trotz Sicherheitsupdate: Apple behebt nicht alle Sicherheitsprobleme in vorherigen Versionen
Apples Update-Politik ist bei Smartphones und Tablets beispielhaft: Oftmals erhält ein Käufer über fünf Jahre und mehr nicht nur Sicherheitsupdates, sondern auch eine Menge neuer Funktionen. Käufer aus dem Android-Lager schielen häufig neidisch auf die kostenlosen Updates von Apple. Beim Mac versorgt Apple Kunden meist auch minimal fünf Jahre mit der aktuellen macOS-Version – und danach noch mit Sicherheitsupdates.
Ein ungeschriebenes Gesetz ist, dass Apple für die letzten beiden macOS-Versionen Sicherheitsupdates herausgibt. So erhalten aktuell macOS 10.15 Catalina und macOS 11 Big Sur noch "Security Updates", macOS 10.14 Mojave hingegen nicht mehr. Bei iOS handhabt Apple dies normalerweise anders: Beispielswiese wurde die Unterstützung von iOS 13 mit dem Erscheinen von iOS 14 aufgegeben, da Apple mit iOS 14 keine Geräte aus der offiziellen Unterstützung wirft. Mit iOS 15 geht Apple einen anderen Weg: Da Apple die Nutzer weniger zum Umstieg drängt, unterstützt Apple iOS 14 vorerst weiter.
Nirgends kommuniziertLeider handelt es sich hierbei um ein ungeschriebenes Gesetz: Apple nennt nirgends, wie lange und welche Versionen der Konzern mit Sicherheitsupdates zu versorgen gedenkt. Daher ist es sehr gut möglich, dass Apple diese informellen Regeln in Zukunft zu Gunsten oder Ungunsten der Kunden spontan anpasst. Aber auch schon jetzt gibt es Unregelmäßigkeiten, welche dazu führen, dass sich Kunden in falscher Sicherheit wiegen wie folgende Beispiele zeigen:
Sicherheitsupdates beinhalten nicht alle sicherheitsrelevanten Aktualisierungen der aktuellen VersionDie allermeisten Nutzer sind der Auffassung, dass ihr Mac mit Sicherheitsupdates genau so gut abgesichert ist wie mit der aktuellsten Betriebssystemversion. Doch dies ist leider nicht der Fall, wie
Josh Long an einem Beispiel demonstriert. Die Sicherheitslücke
CVE-2021-30869, welche wohl aktiv in China ausgenutzt wurde, korrigierte Apple im September 2021 in macOS Catalina mit dem Sicherheitsupdate 2021-006. Doch genau die gleiche Lücke behob Apple im damalig aktuellen Big Sur schon 234 Tage vorher (mit macOS 12.1), bevor das Sicherheitsupdate 2021-006 das Problem in Catalina ausräumte. Somit waren während dieser gesamten Zeit Nutzer von macOS Catalina angreifbar, obwohl laut Apples informellen Regeln Sicherheitsschutz bestand – Anwender mit macOS Big Sur waren hingegen sicher.
Kein EinzelfallDer Sicherheitsforscher Josh Long machte sich nun die Arbeit und trug alle Patches zusammen, welche macOS 12 Monterey mitbrachte und welche Apple in macOS Big Sur und Catalina behob. Hier ist deutlich zu erkennen, dass viele Sicherheitsmängel in macOS Monterey behoben, in den Vorversionen aber weiterhin vorhanden sind:
Natürlich sind manche Sicherheitslücken auch erst mit der aktuellen macOS-Version entstanden, so dass dies keinen konkreten Rückschluss darauf zulässt, dass die Vorversionen in allen Punkten "verwundbar" sind. Dennoch zeigt es eindeutig, dass Apple einige Sicherheitsmängel nur in der aktuellsten macOS-Version korrigiert.
Auch iOS betroffenAuch bei iOS behebt Apple nicht alle Sicherheitslücken in den Vorgängerversionen, wie eine ähnliche Aufstellung zeigt:
Viele Lücken, welche Apple mit iOS 15 und iOS 15.1 schloss, sind weiterhin in iOS 14 und iOS 12 vorhanden. Auch hier gilt natürlich, dass manche der Lücken erst durch Umbauten in iOS 15 entstanden sind – jedoch aller Wahrscheinlichkeit nach nicht alle.
FazitNutzer wiegen sich aktuell in falscher Sicherheit, da Apple selbst Lücken, welche aktiv ausgenutzt werden, nicht oder nur stark verzögert in älteren Systemversionen ausräumt. Dem Sicherheitsforscher Josh Long nach sei es demnach am sichersten, die aktuellste Betriebssystemversion einzusetzen – auch wenn eine ältere Generation noch Sicherheitsupdates erhält. Nur so kommt man in den Genuss aller Sicherheitsfixes – Vorversionen erhalten nur einen Teil dieser.