Browser: Apple patcht Sicherheitslücke in Safari über Wochen nicht

Eine Sicherheitslücke in der Rendering-Engine Webkit wurde schon vor Wochen behoben, doch Apple übernimmt den Patch nicht.

Artikel veröffentlicht am ,
Apfel ohne Patch
Apfel ohne Patch (Bild: Tracy Lundgren/Pixabay)

Obwohl eine Sicherheitslücke in der Rendering-Engine Webkit vor rund drei Wochen geschlossen wurde, hat Apple den Patch aus dem Open-Source-Projekt noch nicht übernommen. Laut den Release Notes kann Apples Browser Safari mit der Sicherheitslücke zum Absturz gebracht werden, doch laut der Sicherheitsfirma Theori kann die Sicherheitslücke unter Umständen auch zum Ausführen von Schadcode verwendet werden.

Stellenmarkt
  1. IT-Administrator (m/w/d)
    Wagon Automotive Nagold GmbH, Nagold
  2. IT Consultant Business Automation (w/m/d)
    dmTECH GmbH, Karlsruhe
Detailsuche

"Dieser Fehler zeigt einmal mehr, dass Patch-Gapping eine große Gefahr bei der Open-Source-Entwicklung darstellt", erklärt der Forscher Tim Becker von Theori in einem Blogbeitrag. Mit Patch-Gapping wird das Ausnutzen einer Sicherheitslücke im Zeitraum zwischen der Upstream-Veröffentlichung eines Patches (zum Beispiel in Webkit) und dessen Verfügbarkeit für die Endnutzer (Beispielsweise ein Update für Safari) bezeichnet.

"Idealerweise ist das Zeitfenster zwischen einem öffentlichen Patch und einem stabilen Release so klein wie möglich. In diesem Fall bleibt eine neu veröffentlichte Version von iOS noch Wochen nach der Veröffentlichung des Patches verwundbar", schreibt Becker.

Unter iOS müssen neben Safari auch die Browser anderer Hersteller die Rendering-Engine Webkit verwenden. Darüber hinaus übernimmt Webkit auch das In-App-Rendering von Apps, die auf Webtechniken aufbauen oder sie nutzen - wie Apple Mail und viele weitere. Dort hatte Apple erst Anfang des Monats mehrere Zero Days geschlossen, den Patch für die aktuelle Sicherheitslücke hatte der iPhone-Hersteller jedoch wochenlang nicht übernommen.

Schwachstelle in WebKit-Implementierung von Audioworklet

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

Bei der Sicherheitslücke handelt es sich um einen Type-Confusion-Bug in der WebKit-Implementierung von Audioworklet. Die Schnittstelle erlaubt es Entwicklern, Audiosignale zu rendern, zu manipulieren oder auszugeben und die Latenz zu verringern. Im Blogeintrag beschreibt Becker, wie die Lücke ausgenutzt werden kann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Um Schadcode aus der Ferne ausführen zu können, müsse ein Angreifer jedoch die Sicherheitsfunktion Pointer Authentication Codes (PAC) umgehen. Das System zur Abschwächung von Sicherheitslücken, PAC, erfordert eine kryptographische Signatur, bevor Code im Speicher ausgeführt werden kann. Die Sicherheitsfirma hat Proof-of-Concept-Code (PoC) für den Exploit veröffentlicht.

Die Sicherheitslücke könnte jedoch mit anderen kombiniert werden, um Schadcode auf Geräten von Apple auszuführen. Das sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Im März berichtet Googles Project Zero von einer Hackergruppe, die solche Exploit-Ketten unter iOS, Windows und Android verwendet hatte. Bei der Hackergruppe soll es sich um einen westlichen Geheimdienst handeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Anti-Virus
John McAfee tot im Gefängnis aufgefunden

John McAfee ist tot in einer Gefängniszelle gefunden worden. Ihm drohte eine Auslieferung von Spanien in die USA.

Anti-Virus: John McAfee tot im Gefängnis aufgefunden
Artikel
  1. Verbraucherzentrale zu Glasfaser: 100 bis 300 MBit/s sind vollkommen ausreichend
    Verbraucherzentrale zu Glasfaser
    "100 bis 300 MBit/s sind vollkommen ausreichend"

    Während alle versuchen, den Glasfaser-Ausbau zu beschleunigen, raten Verbraucherschützer, nicht für Tarife mit sehr hoher Bandbreite zu zahlen, die man angeblich gar nicht benötige.

  2. In eigener Sache: Wie geht es IT-Fachleuten nach über einem Jahr Corona?
    In eigener Sache
    Wie geht es IT-Fachleuten nach über einem Jahr Corona?

    Selten hat ein Ereignis die Arbeit so verändert wie Corona. Golem.de möchte von dir wissen, was das für dich bedeutet. Bitte nimm an der Umfrage teil - es dauert nicht lange!

  3. Bitcoin: Bitmain stoppt Verkauf von Krypto-Minern
    Bitcoin
    Bitmain stoppt Verkauf von Krypto-Minern

    Aufgrund des chinesischen Vorgehens gegen Kryptomining gibt es viele gebrauchte Bitcoin-Rigs auf dem Markt - deren größter Hersteller zieht Konsequenzen.

Panzergerd 27. Mai 2021 / Themenstart

Es ist konzeptionell falsch, dass ein Betriebssystem-Update benötigt wird, um ein Problem...

Kommentieren


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 87,61€ • 6 Blu-rays für 30€ • Landwirtschafts-Simulator 22 jetzt vorbestellbar ab 39,99€ • MSI Optix MAG272CQR Curved WQHD 165Hz 309€ [Werbung]
    •  /