Browser: Apple patcht Sicherheitslücke in Safari über Wochen nicht

Eine Sicherheitslücke in der Rendering-Engine Webkit wurde schon vor Wochen behoben, doch Apple übernimmt den Patch nicht.

Artikel veröffentlicht am ,
Apfel ohne Patch
Apfel ohne Patch (Bild: Tracy Lundgren/Pixabay)

Obwohl eine Sicherheitslücke in der Rendering-Engine Webkit vor rund drei Wochen geschlossen wurde, hat Apple den Patch aus dem Open-Source-Projekt noch nicht übernommen. Laut den Release Notes kann Apples Browser Safari mit der Sicherheitslücke zum Absturz gebracht werden, doch laut der Sicherheitsfirma Theori kann die Sicherheitslücke unter Umständen auch zum Ausführen von Schadcode verwendet werden.

Stellenmarkt
  1. Head of IT Project Services (m/f/d) EMEA
    Fresenius Medical Care, Bad Homburg vor der Höhe
  2. Mitarbeiter*in (m/w/d) für das Prozessmanagement
    Universität Bielefeld, Bielefeld
Detailsuche

"Dieser Fehler zeigt einmal mehr, dass Patch-Gapping eine große Gefahr bei der Open-Source-Entwicklung darstellt", erklärt der Forscher Tim Becker von Theori in einem Blogbeitrag. Mit Patch-Gapping wird das Ausnutzen einer Sicherheitslücke im Zeitraum zwischen der Upstream-Veröffentlichung eines Patches (zum Beispiel in Webkit) und dessen Verfügbarkeit für die Endnutzer (Beispielsweise ein Update für Safari) bezeichnet.

"Idealerweise ist das Zeitfenster zwischen einem öffentlichen Patch und einem stabilen Release so klein wie möglich. In diesem Fall bleibt eine neu veröffentlichte Version von iOS noch Wochen nach der Veröffentlichung des Patches verwundbar", schreibt Becker.

Unter iOS müssen neben Safari auch die Browser anderer Hersteller die Rendering-Engine Webkit verwenden. Darüber hinaus übernimmt Webkit auch das In-App-Rendering von Apps, die auf Webtechniken aufbauen oder sie nutzen - wie Apple Mail und viele weitere. Dort hatte Apple erst Anfang des Monats mehrere Zero Days geschlossen, den Patch für die aktuelle Sicherheitslücke hatte der iPhone-Hersteller jedoch wochenlang nicht übernommen.

Schwachstelle in WebKit-Implementierung von Audioworklet

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Bei der Sicherheitslücke handelt es sich um einen Type-Confusion-Bug in der WebKit-Implementierung von Audioworklet. Die Schnittstelle erlaubt es Entwicklern, Audiosignale zu rendern, zu manipulieren oder auszugeben und die Latenz zu verringern. Im Blogeintrag beschreibt Becker, wie die Lücke ausgenutzt werden kann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Um Schadcode aus der Ferne ausführen zu können, müsse ein Angreifer jedoch die Sicherheitsfunktion Pointer Authentication Codes (PAC) umgehen. Das System zur Abschwächung von Sicherheitslücken, PAC, erfordert eine kryptographische Signatur, bevor Code im Speicher ausgeführt werden kann. Die Sicherheitsfirma hat Proof-of-Concept-Code (PoC) für den Exploit veröffentlicht.

Die Sicherheitslücke könnte jedoch mit anderen kombiniert werden, um Schadcode auf Geräten von Apple auszuführen. Das sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Im März berichtet Googles Project Zero von einer Hackergruppe, die solche Exploit-Ketten unter iOS, Windows und Android verwendet hatte. Bei der Hackergruppe soll es sich um einen westlichen Geheimdienst handeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Der Nachfolger von Windows 10
Windows 11 ist da

Nun ist es offiziell: Microsoft kündigt das neue Windows 11 an. Vieles war bereits vorher bekannt, einiges Neues gibt es aber trotzdem.

Der Nachfolger von Windows 10: Windows 11 ist da
Artikel
  1. EE: Britische Netzbetreiber führen wieder Roaming ein
    EE
    Britische Netzbetreiber führen wieder Roaming ein

    Für britische Mobilfunk-Nutzer ist die Zeit des freien Telefonierens in der EU bald vorbei. EE und zuvor O2 und Three haben Einschränkungen angekündigt.

  2. Krypto-Betrug in Milliardenhöhe: Gründer von Africrypt stehlen 69.000 Bitcoin
    Krypto-Betrug in Milliardenhöhe
    Gründer von Africrypt stehlen 69.000 Bitcoin

    Die Gründer der Kryptoplattform Africrypt haben sich offenbar mit 69.000 gestohlenen Bitcoin abgesetzt. Der Betrug deutete sich schon vor Monaten an.

  3. Interview: Avatar und die global beleuchteten Mikrodetails von Pandora
    Interview
    Avatar und die global beleuchteten Mikrodetails von Pandora

    Waldplanet statt The Division: Golem.de hat mit dem Technik-Team von Avatar - Frontiers of Pandora über die Snowdrop-Engine gesprochen.
    Ein Interview von Peter Steinlechner

Panzergerd 27. Mai 2021 / Themenstart

Es ist konzeptionell falsch, dass ein Betriebssystem-Update benötigt wird, um ein Problem...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • AMD Ryzen 5 5600X 251,59€ • Dualsense Midnight Black + R&C Rift Apart 99,99€ • Logitech Lenkrad-Sets zu Bestpreisen [Werbung]
    •  /