macOS 10.12 alias Sierra ist nicht nur ein größeres Funktionsupdate, es ist derzeit auch ein obligatorisches Sicherheitsupdate. Wie aus Apples Sicherheitsdokumentation hervorgeht, wird macOS 10.12 als Sicherheitsupdate für El Capitan in der Version 10.11.6 eingestuft. Ein separates Update, wie sonst üblich, gibt es bisher nicht – und das obwohl die sicherheitsrelevanten Informationen bereits am 20. September 2016 veröffentlicht wurden. Das letzte Sicherheitsupdate im Supportbereich ist auf den 1. September 2016 datiert (2016-001/2016-005) und beinhaltet andere behobene Sicherheitslücken als die Version 10.12.

Interessanterweise betreffen die Sicherheitslücken laut Apple nur El Capitan. Wahrscheinlicher ist jedoch, dass der Support von Yosemite (10.10) mit Sierra inoffiziell beendet wurde. Aus Sicherheitsgründen müsste man also von dem Einsatz von Yosemite abraten. Sicherheitslücken bleiben offen. Zudem hat Apple die OS-X-Support-Seiten bereits gelöscht und durch die macOS-Support-Seite ersetzt.

Die Sicherheitslücken, die Apple mit dem Update dokumentiert, sind eine recht hohe Gefahr für den Anwender und sein System. So lässt sich von Angreifern Schadcode ausführen. Bei Mac-Nutzern, die mit eingeschränkten Rechten arbeiten, dürfte der Schaden allerdings nicht allzu groß sein, da nur der jeweilige Nutzer betroffen ist und es an Systemrechten fehlt. Leider bietet El Capitan aber mehrere Sicherheitslücken, die das Erschleichen höherer Rechte ermöglichen. Ein Dutzend davon gibt dem Angreifer Kernel-Rechte, drei der Lücken erlauben das Erschleichen von Systemrechten.

Mac-Nutzer mit El Capitan haben derzeit eine schwere Wahl: Entweder sie lassen ihr System bewusst offen für über ein Dutzend kritische Sicherheitsfehler im System oder sie installieren macOS 10.12 Sierra, das nach einem Test von Golem.de die notwendige Reife missen lässt. Zudem wurde architektonisch einiges, da es eine kleine Anzahl von Anwendungen gibt, die derzeit mit Updates versorgt werden, um Kompatibilitätsprobleme zu beheben. Das ist ein zu erwartendes Verhalten bei neuen Betriebssystemen. Deswegen bieten Betriebssystementwickler als Service Sicherheits- und manchmal auch Funktionsupdates in der Regel auch für alte Betriebssysteme an.

Ein Leser wies uns darauf hin, dass offenbar an einem Security Update 2016-002 für El Capitan gearbeitet wird. Ein weiterer Leser bestätigte dies. Wir können über unseren Entwicklerzugang derzeit keine Dokumentation zu der Betaphase ausmachen. Dementsprechend gibt es keine Hinweise darauf, wann das Sicherheitsupdate erscheint und welche Sicherheitsprobleme es beseitigt. Offiziell ist Sierra weiterhin ein Sicherheitsupdate für El Capitan.

Autor des Artikels ist Andreas Sebayang