Über das Wochenende wurde eine neue Sicherheitslücke bekannt, die Prozessoren auf Basis der ARM-Architektur betrifft. Die unter dem Namen PACMAN (via Macworld) firmierende Lücke wurde von Sicherheitsforschern des Massachusetts Institute of Technology (MIT) entdeckt und hängt mit dem Sicherheitsmechanismus "Pointer Authentication" der Prozessoren zusammen. Dieser soll eigentlich dazu dienen, Angriffe von einem Hacker auf den Rest des Systems abzufangen, der sich bereits unrechtmäßigen Zugriff auf den Arbeitsspeicher verschafft hat. Allerdings kann man die "Pointer Authentication" offenbar durch einen hardwareseitigen Brute-Force-Angriff aushebeln. Da hiervon nicht bestimmte Prozessoren, sondern die ARM-Architektur als solche betroffen ist, sind auch Apples M1 und M2 Prozessoren gegen die Lücke anfällig.

Den Sicherheitsforschern des MIT zufolge ist es allerdings nach wie vor unklar, ob die Schwachstelle bereits aktiv ausgenutzt wurde. Fest steht in jedem Fall, dass die Lücke nicht softwareseitig behoben werden kann, da sie wie erwähnt direkt mit der Prozessor-Architektur zusammenhängt. Allerdings geben die Forscher auch ein Stück weit Entwarnung. Zwar kann man die Lücke ausnutzen, allerdings gibt es auch noch weitere, höher gelagerte Sicherheitsmechanismen, die Entwickler umsetzen sollten, damit die "Pointer Authentication" nicht als quasi letzte Verteidigungslinie überhaupt erst zum Einsatz kommen muss.

Das Forscherteam hat Apple über die Entdeckung bereits informiert und agekündigt, weitere Details auf dem International Symposium on Computer Architecture am 18. Juni bekannt zu geben. Bis dahin können alle aktuell bekannten Informationen auf der ins Leben gerufenen PACMAN-Webseite eingesehen werden. Apple hat sich bislang noch nicht zu dem Thema geäußert.

Heute Morgen erst hatte ich berichtet, dass sich einige Nutzer im Netz darüber beklagen, dass sie ihr Studio Display nicht mehr auf die aktuelle iOS-Version 15.4 aktualisieren können (zur Erinnerung: Ja, auf dem Studio Display läuft ein vollwertiges iOS). Apple hat darauf durchaus zügig reagiert und das Update inzwischen möglich gemacht. Offenbar bestand das Problem in der serverseitigen Verifizierung des Updates. Um es für Apple ein wenig peinlicher auszudrücken: Nachdem man die Signierung für iOS 15.4 vergangene Woche gestoppt und damit aus Sicherheitsgründen ein Downgrade auf diese Version auf dem iPhone unmöglich gemacht hatte, war offenbar auch die Installation auf dem Studio Display nicht mehr möglich. Dies wurde nun korrigiert, so dass sich das Update inzwischen wieder über die Systemeinstellungen eines verbundenen Macs laden und installieren lässt.

Apple stopped signing iOS 15.4 on 4/7

On 4/8, users started reporting that they couldn't update the Studio Display to iOS 15.4 Firmware.

As of one hour ago, iOS 15.4 Firmware for the Studio Display (Appledisplay2,1) is being signed again

The firmware update installing now! ???? https://t.co/Sn1TyKgLkq pic.twitter.com/pO7rSGox1a

— Mr. Macintosh (@ClassicII_MrMac) April 11, 2022

Da scheint Apple also selbst nicht mehr daran gedacht zu haben, welche Systeme von der gestoppten Signierung betroffen sind. Komplett synchronisiert scheinen die iOS/iPadOS-Updates für das iPhone bzw. iPad auf der einen und das Studio-Display auf der anderen Seite ohnehin nicht zu sein. Während iOS 15.4 für alle genannten Geräte zur Verfügung steht, wurde das Studio Display nicht mit dem Ende vergangenen Monats veröffentlichten iOS 15.4.1 bedacht. Nach wie vor warten die Nutzer zudem auf das von Apple angekündigte Update, welches den Bug korrigiert, der zu einer sichtbar schlechten Qualität der Bilder der FaceTime-Kamera führt.

Die Reviewer konnte Apple mit seinem neuen Studio Display nicht durchgehend überzeugen. Vor allem das Preis-Leistungsverhältnis kam dabei nicht gut weg und auch an der Qualität der FaceTime-Kamera gab es reichlich Kritik. Apple gestand einen Softwarefehler ein, den man mit einem Softwareupdate aus der Welt schaffen wollte. Dies klingt zunächst mal gut, wenn es nicht Probleme beim Aktualisieren des Monitors geben würde. So berichtet eine wachsende Zahl an Nutzern in Apples Support-Foren, dass sie ihr Studio Display nicht aktualisieren können und stattdessen eine Fehlermeldung sehen, die da lautet:

"Apple Studio Display firmware update could not be completed. Try again in an hour. If the problem persists, contact an authorized Apple service provider."

Auch in den MacRumors-Foren mehren sich inzwischen die Stimmen in diese Richtung. Offenbar kann auch der Apple Support aus der Ferne nicht helfen und fordert die betroffenen Nutzer auf, sich zur näheren Begutachtung in einen Apple Store oder zu einem Service Partner zu begeben. Ob das veröffentlichte Update die Korrektur für die FaceTime-Kamera enthalten sollte, ist bislang nicht bekannt.

Apple scheint aktuell kein glückliches Händchen mit seinem watchOS zu haben. Nachdem zuvor schon diverse Probleme zwischen der Apple Watch und verschiedenen Ladegeräten von Drittanbieter aufgetreten waren, sorgt auch das in der vergangenen Woche freigegebene watchOS 8.5 weiterhin für Probleme. Während eine der "größeren" Neurerungen der Apple Watch Series 7 die Schnellladefunktion war, scheint watchOS 8.5 diese nun auszuhebeln. Zur Erinnerung: Mit einem entsprechenden Ladegerät kann man die Apple Watch Series 7 dank der neuen Funktion innerhalb von 45 Minuten von 0% auf 80% Ladestand bringen.

Mit watchOS 8.5 funktioniert dies nun allerdings nicht mehr, wie verschiedene Nutzer einer Apple Watch Series Series 7 in den Apple Support-Foren oder auch auf Reddit berichten. Die Kollegen von 9to5Mac bestätigen diese Beobachtung ebenfalls. Eine offizielle Aussage von Apple zu der Thematik gibt es aktuell noch nicht. Sollte es sich allerdings tatsächlich um einen Bug handeln, der sich mit watchOS 8.5 eingeschlichen hat, dürfte in Kürze ein korrigierendes Update bereitstehen.

Immer wenn ich den nachfolgenden Satz schreibe, merke ich, wie alt ich eigentlich bin. Die etwas älteren Semester werden sich noch an den Jahreswechsel von 1999 auf 2000 und die damalige Angst vor dem Millennium-Bug erinnern. Diverse Computersysteme waren damals einfach nicht darauf ausgelegt, die Jahreszahlen des neuen Jahrtausends zu verarbeiten. Ein ähnliches, wenn auch nicht ganz so weit verbreitetes Problem droht nun Nutzern der beiden Browser Chrome und Firefox in den kommenden Wochen. Der Grund: Für beide Browser steht ein Update auf Version 100 an. Bei Chrome ist die Aktualisierung für den 29. März geplant, für Firefox für den 03. Mai.

Wie die Kollegen von Bleeping Computer erklären, kann das Problem dadurch entstehen, dass die Browser beim Aufruf einer Webseite ihren User-Agent an den angesteuerten Webserver übergeben, in dem auch die Versionsnummer enthalten ist. Das Problem ist allerdings, dass manche, teils auch prominente Webseiten eine zweistellige Versionsnummer des Browsers erwarten, also schlicht nicht auf den Sprung in die Hunderter vorbereitet sind. Dies führt dann im schlimmsten Fall dazu, dass die Webseite nicht aufgerufen werden kann. Betroffen sind hiervon unter anderem Yahoo und Slack.

Google hat bereits erste Warnungen in diese Richtung Ende vergangenen Jahres veröffentlicht. Auch die Firefox-Entwickler von Mozilla haben inzwischen Anweisungen veröffentlicht, mit dem Webseiten-Betreiber testen können, ob sie von dem Problem potenziell betroffen sind. Beide Browser-Anbieter haben aber bereits angekündigt, selbst Maßnahmen zu ergreifen und im Zweifel auch schnell reagieren zu können, sollte sich das Problem als größer erweisen als momentan angenommen.

Am gestrigen Abend hat Apple bereits die Release Candidates für seine kommenden Betriebssystem-Updates, darunter macOS Monterey 12.2, iOS/iPadOS 15.3 und watchOS 8.4 für registrierte Entwickler veröffentlicht, was auf eine nahende allgemeine Freigabe für alle Nutzer hindeutet. Und diese wird auch teilweise schon sehnsüchtig erwartet. So beheben die Updates gleich mehrere, teils schwerwiegende Bugs, die in den vergangenen Wochen bekannt wurden. Unter macOS Monterey und iOS/iPadOS 15.3 betrifft dies in erster Linie den schweren Safari-Bug, durch den eine beliebige Webseite den Nutzer tracken und teils auch seine persönlichen Daten offenlegen konnte. Der Fehler steckt in der WebKit-Implementierung der IndexedDB JavaScript API. Wie die Kollegen von 9to5Mac nun herausfanden, ist der Bug in Safari unter der kommenden macOS-, iOS, und iPadOS-Version nicht mehr vorhanden.

Auch watchOS 8.4 wird einen Fix für einen für viele Nutzer nervigen Bug enthalten, der dazu führte, dass manche Drittanbieter-Ladegeräte für die Apple Watch nicht mehr zuverlässig funktionierten. Das Problem ist schon seit letztem Dezember und der Veröffentlichung von watchOS 8.3, bislang jedoch noch nicht behoben worden. Aus den Releasenotes zu watchOS 8.4 geht nun hervor, dass das Ladeproblem mit dem kommenden Update (hoffentlich) aus der Welt geschaffen wird.

Sollten keine gravierenden Probleme mehr in den gestern veröffentlichten Release Candidates entdeckt werden, handelt es sich hierbei um die finalen Versionen, die Apple möglicherweise bereits in der kommenden Woche für alle Nutzer veröffentlichen wird.

Anfang der Woche kam ein Bericht auf, wonach es einen Bug in WebKit, der HTML-Rendering-Engine, die unter anderem Apples Safari-Browser zugrundeliegt, gibt, der es jeder Webseite ermöglichen kann, die besuchten Webseiten und teilweise auch persönliche Informationen des Nutzers zu tracken. Die Entdecker hatten den Bug bereits Ende November über den WebKit Bug Tracker gemeldet. Erst durch das nun entstandene öffentliche Interesse an dem Thema scheint aber Bewegung in die Sache zu kommen. So hat Apple offenbar einen Fix für das Problem in Arbeit, wie aus einem WebKit-Commit auf GitHub hervorgeht. Allerdigns bedarf es erst eines Updates von Safari unter macOS Monterey, sowie von iOS 15 und iPadOS 15, ehe Nutzer vor dem Problem geschützt sind. Einen Zeitrahmen für dieses Update gab Apple nicht an.

Die auf das Aufspüren von Nutzertracking in Browsern spzialisierten Kollegen von FingerprintJS (via 9to5Mac) haben einen eingermaßen schweren Bug in WebKit, der HTML-Rendering-Engine entdeckt, die Apples Safari-Browser zugrundeliegt. Konkret steckt dieser in der Implementierung einer JavaScript API namens IndexedDB. Zusammengefasst gestattet es der Bug jeder Webseite, die selbst IndexedDB nutzt, auf die Namen von IndexedDB Datenbanken zuzugreifen, die von anderen Webseiten während der Session erzeugt wurden. Hierdurch wäre es prinzipiell jeder dieser Webseiten möglich, die besuchten Webseiten des Nutzers auf dieser Basis zu tracken, da die Namen der Datenbanken in der Regel sehr eindeutig sind. Normalerweise sollte eine Webseite nur auf ihre jeweils eigenen IndexedDB Datenbanken zugreifen können.

Manche Webseiten gehen sogar soweit, dass sich aus den Namen der IndexedDB-Datenbanken auf den jeweiligen Nutzer schließen lässt. Die Namen von YouTube-Datenbanken enthalten beispielsweise die Google ID des Nutzers, über die sich über die Google APIs auch persönliche Informationen anrufen lassen.

Von dem Bug betroffen sind nicht nur Safari für den Mac, iOS und iPadOs, sondern auch Drittanbieter-Browser unter iOS, da diese zwingend ebenfalls auf WebKit aufsetzen müssen. Offenbar sind allerdings nur die WebKit-Implementierungen in den jeweils aktuellsten Versionen von macOS, iOS und iPadOS betroffen. Auch der private Browsermodus schützt hier nicht vor dem Bug. 

Am Mac hat man die Möglichkeit, einen anderen Browser ohne WebKit (z.B. Firefox) zu nutzen. Unter iOS hat man diese Möglichkeit hingegen nicht. Als Nutzer kann man darüber hinaus aktuell nichts aktiv gegen das Problem unternehmen und muss auf ein korrigierendes Update aus Cupertino warten. FingerprintJS hatte den Bug bereits Ende November über den WebKit Bug Tracker gemeldet. Weitere Details lassen sich im zugehörigen Blogpost bei den Kollegen einsehen.