Wichtige Sicherheitskorrekturen: iOS/iPadOS 15 und iOS/iPadOS 16 gehen offenbar leer aus

22. Nov. 2024 12:00 Uhr - Redaktion

In dieser Woche hat Apple zwei neu entdeckte, möglicherweise aktiv ausgenutzte Sicherheitslücken im Unterbau des Web-Browsers Safari behoben. Die Schwachstellen werden mit hohem Schweregrad eingestuft, da sie Angreifern unter Umständen das Einschleusen und Ausführen von Schadcode über manipulierte Web-Inhalte ermöglichen können. Während macOS 13/14/15 und iOS/iPadOS 17/18 von Apple mit entsprechenden Sicherheitskorrekturen bedacht wurden, bleiben zwei ältere Versionsreihen des iPhone- und iPad-Betriebssystems bislang ungeschützt.

Für iOS/iPadOS 15 und iOS/iPadOS 16 hat Apple noch keine Sicherheitskorrekturen bereitgestellt. Zuletzt wurden die beiden Hauptversionen im Sommer aktualisiert (auf Version 15.8.3 und 16.7.10). Ob sie überhaupt noch vom Hersteller gepflegt werden, ist unklar - es ist und bleibt ein großes Manko, dass Apple sich nicht dazu äußert, wie viele Jahre lang ein Produkt bzw. eine Produktkategorie mit Sicherheitsupdates versorgt wird.

Dies ist insofern problematisch, da auf iPhone und iPad ausschließlich Apples WebKit-Engine für Browser und andere Apps zur Verfügung steht, d. h. Anwender müssen auf diesen Geräten zwingend Safari bzw. andere WebKit-basierte Browser nutzen, die ohne Sicherheitskorrekturen (wie aktuell unter iOS/iPadOS 15/16) entsprechend anfällig sind - ein Risiko etwa für Online-Banking. Auf Macs mit veralteten Versionsreihen (macOS Monterey 12 und früher) kann hingegen einfach auf aktuelle Web-Browser anderer Hersteller, wie zum Beispiel Chrome oder Firefox, ausgewichen werden.

 
iOS/iPadOS 16

 

iOS/iPadOS 16: Neu entdeckte, kritische WebKit-Lücken bislang nicht von Apple gestopft.
Bild: Apple.

 

Einerseits ist es völlig klar, dass es für ein Gerät, egal ob Smartphone, Tablet oder Notebook, keine Sicherheitsupdates für unbegrenzte Zeit geben kann. Andererseits wäre es im Fall von kritischen, möglicherweise aktiv ausgenutzten Schwachstellen mehr als angebracht, wenn diese auch auf älteren Geräten gestopft werden würden, im aktuellen Fall etwa das iPhone X oder die ersten iPad-Pro-Modelle. Diese Hardware hat zwar bereits etliche Jahre auf dem Buckel, aber ein paar wichtige WebKit-Korrekturen könnte der Hersteller doch sicherlich noch bereitstellen, was sicherlich auch der Kundenzufriedenheit und -bindung zugute kommen würde.

Wahrscheinlicher ist es aber, dass die Regulatoren aktiv werden (müssen), um einheitliche Bedingungen zu schaffen. In der EU gibt es bereits Pläne, eine Update-Pflicht für die typische Nutzungsdauer einer Gerätekategorie einzuführen. Da Geräte heutzutage immer länger genutzt werden, könnten diese Zeiträume entsprechend großzügig ausfallen. Angemessen wäre es, wenn wichtige Sicherheitskorrekturen für Gerätekategorien wie Smartphones, Tablets, Desktops, Notebooks oder Router bis zu 10 Jahre nach der Markteinführung des Geräts zur Verfügung gestellt werden - auch im Hinblick auf die Langlebigkeit zur Vermeidung von Elektroschrott (in Anbetracht der weiter unzureichenden Recyclingquoten).

Dass man nicht mehr das volle Set an Sicherheitskorrekturen oder gar neue Funktionen für bis zu 10 Jahre alte Hardware erwarten kann, liegt auf der Hand, aber die wichtigsten Sicherheitskorrekturen (für aktiv ausgenutzte Zero-Day-Lücken, aus der Ferne angreifbare Schwachstellen usw.) sollten einfach noch drin sein - zumal Hersteller wie Apple oder auch Samsung mit ihren Geräten gutes Geld verdienen und dicke Gewinne einfahren.