Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Exploit veröffentlicht: Gefixte WebKit-Schwachstelle steht auf iPhones offen

Ein Patch im Open-Source-Unterbau aller iOS-Browser ist selbst nach Wochen noch nicht in Apples Betriebssysteme eingeflossen, warnt eine Sicherheitsfirma.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen
WebKit

(Bild: WebKit)

Lesezeit: 2 Min.
Mac & i
Von
  • Leo Becker

Apple sieht sich mit einer weiteren 0-day-Schwachstellen konfrontiert: Eine in der Browser-Engine WebKit bereits vor Wochen von Drittentwicklern beseitigte Sicherheitslücke ist noch nicht in die allgemein verfügbare WebKit-Fassung in iOS und macOS eingeflossen, wie eine Sicherheitsfirma warnt – trotz mehrerer Updates für die Betriebssysteme. Die Lücke, die ein entfernter Angreifer zum Einschleusen von Schadcode über manipulierte Web-Inhalte ausnutzen könne, sei auch in den aktuellen Versionen iOS 14.6 und macOS 11.4 noch offen.

Patch-Gapping als Gefahr

Der Bug demonstriere erneut, dass "Patch-Gapping" – der Zeitabstand zwischen einem offengelegten Fix und dessen Auslieferung an Endnutzer – eine "signifikante Gefahr bei der Open-Source-Entwicklung darstellt", erläuterte ein Sicherheitsforscher von Theori. Das Zeitfenster zwischen öffentlichem Patch und der allgemeinen Bereitstellung einer stabilen Version müsse so klein wie möglich gehalten werden. Im konkreten Fall sei selbst die jüngste iOS-Version noch verwundbar und das mehrere Wochen nach Veröffentlichung des Patches.

WebKit ist in iOS nicht nur der Unterbau von Apples Browser Safari, sondern dient nach Vorschrift des Herstellers allen Browsern als Engine. Apple verteidigte die Zwangsmaßnahme in der Vergangenheit damit, dass man nur so für Sicherheit sorgen könne.

Exploit verfügbar

Als "Proof of Concept" hat die Sicherheitsfirma einen Exploit für die Sicherheitslücke veröffentlicht, man könne diesen als Teil einer größeren Exploit-Kette einsetzen. Um den Exploit scharfzuschalten, ist aber eine Umgehung der Pointer Authentication Codes (PACs) erforderlich – eine Sicherheitsfunktion auf Hardware-Ebene, die das Ausnutzen von Speicherfehlern verhindern soll. PACs kommen erst ab Apples A12-Chip (iPhone XS und neuer) zum Einsatz.

In den ersten Monaten des Jahres 2021 hat Apple inzwischen bereits acht 0-day-Schwachstellen in seinen Betriebssystemen beseitigt, sechs davon in WebKit, wie aus einer Aufstellung von Googles Sicherheits-Team Project Zero hervorgeht. Die Lücken wurden offenbar auch aktiv für Angriffe ausgenutzt.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Weitere Apple-Themen

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten