Schwerwiegende WebKit-Lücke: Hotfix für alle Apple-Betriebssysteme außer tvOS
Für iOS, iPadOS macOS und watchOS stehen Updates für die Browser-Engine bereit. Web-Inhalte konnten zur Malware-Ausführung verwendet werden.
(Bild: marianstock/Shutterstock.com)
Apple hat außer der Reihe Aktualisierungen für alle Betriebssysteme zur Verfügung gestellt, die WebKit-Komponenten enthalten. Außerdem wird für ältere macOS-Betriebssysteme eine neue Safari-Version zum Download angeboten. Grund ist die Behebung einer einzigen Sicherheislücke, die es allerdings in sich hat: CVE-2021-1844.
Fiese Webinhalte führen Code aus
Der Speicherfehler (Memory Corruption) wurde gleich von zwei renommierten Teams entdeckt: Die Threat Analysis Group von Google (verantwortlich: Clement Lecigne) und Microsofts Browser Vulernability Research (Alison Huffman). Er kann dazu führen, dass manipulierte Web-Inhalte zur sofortigen Ausführung beliebigen Schadcodes verwendet werden können – eine der potenziell schlimmsten Fehlerarten in einem Browser.
Nach Einspielung des Patches landen iOS und iPadOS auf der aktuellen Version 14.4.1, macOS 11 alias Big Sur bei 11.2.3, watchOS erreicht Version 7.3.2 (ab Apple Watch Series 3 einspielbar) und Safari unter macOS Mojave beziehungsweise macOS Catalina bei Version 14.0.3 (Buildnummern 14610.4.3.1.7 beziehungsweise 15610.4.3.1.7). Weitere Komponenten außerhalb des Browsers werden in Catalina und Mojave nicht angefasst.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden.
Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden.
Mehr dazu in unserer
Datenschutzerklärung.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
tvOS fehlt mangels Browser
Im Update-Reigen fehlt einzig eine neue tvOS-Variante. Das hat den simplen Grund, dass Apple hier nach wie vor keinen Browser offeriert. Die Aktualisierungen sollten schnellstmöglich eingespielt werden; es besteht die Möglichkeit, dass demnächst Exploits kursieren. Unter Catalina und Mojave ist kein Neustart des Systems notwendig, da hier wie erwähnt einfach nur Safari aktualisiert wird.
In macOS Big Sur ist Safari hingegen direkter Bestandteil des Betriebssystems. Einige Details zur Lücke nennt Apple auf seiner offiziellen Sicherheits-Updates-Website. Größere Updates wie iOS 14.5 mit Apples neuem Tracking-Opt-In oder macOS 11.3 mit diversen kleineren Verbesserungen stehen in den kommenden Wochen an.
[Update 09.03.21 12:22 Uhr:] macOS 11.2.3 ist deutlich größer, als man dies von einem reinen Safari-Hotfix erwarten würde – es bringt mehr als 2 GByte auf die Waage. Warum das so ist und was noch in dem Update steckt, bleibt unklar. (bsc)
