Apple stopft schwerwiegendes Sicherheitsloch in WebKit
Betroffen sind iOS, iPadOS, macOS und watchOS. Ein Angreifer kann unter Umständen Schadcode aus der Ferne einschleusen und ausführen. Ein mögliches Einfallstor sind speziell gestaltete Websites.
Apple hat mehrere Updates für seine Betriebssysteme sowie seinen Browser Safari veröffentlicht. Sie schließen eine schwerwiegende Sicherheitslücke in der Browserengine WebKit. Ein Angreifer kann unter Umständen Schadcode einschleusen und ausführen.
Den Patch verteilt Apple über macOS Big Sur 11.2.3 sowie Safari 14.0.3 an Nutzer seines Desktop-Betriebssystems, wobei das Safari-Update für macOS Catalina und macOS Mojave gedacht ist. Nutzer von iPhones und iPads sollten auf iOS 14.4.1 sowie iPadOS 14.1.1 umsteigen. Auch die Apple Watch erhält über watchOS 7.3.2 den Fix.
Seinen Security Advisories zufolge behebt Apple ein Speicherproblem mithilfe einer verbesserten Validierung. So soll verhindert werden, dass speziell gestaltete Webinhalte eine Remotecodeausführung auslösen können. Ein Angreifer muss ein Opfer also offenbar lediglich auf eine von ihm kontrollierte Website locken, um Schadcode auf ein macOS- oder iOS-Gerät einzuschleusen.
Entdeckt wurde der Bug von Clément Lecigne von Googles Threat Analysis Group sowie Alison Huffman, die sich bei Microsoft mit Browser-Sicherheitslücken beschäftigt. Hier zeigen sich die gemeinsamen Wurzeln von Chrome und Safari: Bis 2013 unterstützte Google die Entwicklung von WebKit – danach ging es mit der WebKit-Fork Blink für Chrome eigene Wege. Bis heute teilen sich Safari, Chrome und alle auf Chromium basierenden Browser jedoch einen Teil ihrer Codebasis.
Apple selbst bezeichnet die Patches als wichtig und empfiehlt allen Nutzern, sie zeitnah zu installieren. Die Verteilung erfolgt über die Update-Funktionen von iOS, iPadOS, watchOS und macOS.