Browser: Apple patcht Sicherheitslücke in Safari über Wochen nicht

Obwohl eine Sicherheitslücke in der Rendering-Engine Webkit vor rund drei Wochen geschlossen wurde, hat Apple den Patch aus dem Open-Source-Projekt noch nicht übernommen. Laut den Release Notes kann Apples Browser Safari mit der Sicherheitslücke zum Absturz gebracht werden, doch laut der Sicherheitsfirma Theori kann die Sicherheitslücke unter Umständen auch zum Ausführen von Schadcode verwendet werden.

"Dieser Fehler zeigt einmal mehr, dass Patch-Gapping eine große Gefahr bei der Open-Source-Entwicklung darstellt", erklärt der Forscher Tim Becker von Theori in einem Blogbeitrag. Mit Patch-Gapping wird das Ausnutzen einer Sicherheitslücke im Zeitraum zwischen der Upstream-Veröffentlichung eines Patches (zum Beispiel in Webkit) und dessen Verfügbarkeit für die Endnutzer (Beispielsweise ein Update für Safari) bezeichnet.

"Idealerweise ist das Zeitfenster zwischen einem öffentlichen Patch und einem stabilen Release so klein wie möglich. In diesem Fall bleibt eine neu veröffentlichte Version von iOS noch Wochen nach der Veröffentlichung des Patches verwundbar", schreibt Becker.

Unter iOS müssen neben Safari auch die Browser anderer Hersteller die Rendering-Engine Webkit verwenden. Darüber hinaus übernimmt Webkit auch das In-App-Rendering von Apps, die auf Webtechniken aufbauen oder sie nutzen - wie Apple Mail und viele weitere. Dort hatte Apple erst Anfang des Monats mehrere Zero Days geschlossen, den Patch für die aktuelle Sicherheitslücke hatte der iPhone-Hersteller jedoch wochenlang nicht übernommen.

Schwachstelle in WebKit-Implementierung von Audioworklet

Bei der Sicherheitslücke handelt es sich um einen Type-Confusion-Bug in der WebKit-Implementierung von Audioworklet. Die Schnittstelle erlaubt es Entwicklern, Audiosignale zu rendern, zu manipulieren oder auszugeben und die Latenz zu verringern. Im Blogeintrag beschreibt Becker, wie die Lücke ausgenutzt werden kann.

Um Schadcode aus der Ferne ausführen zu können, müsse ein Angreifer jedoch die Sicherheitsfunktion Pointer Authentication Codes (PAC) umgehen. Das System zur Abschwächung von Sicherheitslücken, PAC, erfordert eine kryptographische Signatur, bevor Code im Speicher ausgeführt werden kann. Die Sicherheitsfirma hat Proof-of-Concept-Code (PoC) für den Exploit veröffentlicht.

Die Sicherheitslücke könnte jedoch mit anderen kombiniert werden, um Schadcode auf Geräten von Apple auszuführen. Das sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Im März berichtet Googles Project Zero von einer Hackergruppe, die solche Exploit-Ketten unter iOS, Windows und Android verwendet hatte. Bei der Hackergruppe soll es sich um einen westlichen Geheimdienst handeln.