Browser: Apple patcht Sicherheitslücke in Safari über Wochen nicht

Eine Sicherheitslücke in der Rendering-Engine Webkit wurde schon vor Wochen behoben, doch Apple übernimmt den Patch nicht.

Artikel veröffentlicht am ,
Apfel ohne Patch
Apfel ohne Patch (Bild: Tracy Lundgren/Pixabay)

Obwohl eine Sicherheitslücke in der Rendering-Engine Webkit vor rund drei Wochen geschlossen wurde, hat Apple den Patch aus dem Open-Source-Projekt noch nicht übernommen. Laut den Release Notes kann Apples Browser Safari mit der Sicherheitslücke zum Absturz gebracht werden, doch laut der Sicherheitsfirma Theori kann die Sicherheitslücke unter Umständen auch zum Ausführen von Schadcode verwendet werden.

Stellenmarkt
  1. (Senior) Software Engineer IoT (m/w/d)
    AUSY Technologies Germany AG, München, Nürnberg, Hamburg, Düsseldorf
  2. IT Projektleiter (m/w/d) interne Digitalisierung
    Dürr IT Service GmbH, Bietigheim-Bissingen
Detailsuche

"Dieser Fehler zeigt einmal mehr, dass Patch-Gapping eine große Gefahr bei der Open-Source-Entwicklung darstellt", erklärt der Forscher Tim Becker von Theori in einem Blogbeitrag. Mit Patch-Gapping wird das Ausnutzen einer Sicherheitslücke im Zeitraum zwischen der Upstream-Veröffentlichung eines Patches (zum Beispiel in Webkit) und dessen Verfügbarkeit für die Endnutzer (Beispielsweise ein Update für Safari) bezeichnet.

"Idealerweise ist das Zeitfenster zwischen einem öffentlichen Patch und einem stabilen Release so klein wie möglich. In diesem Fall bleibt eine neu veröffentlichte Version von iOS noch Wochen nach der Veröffentlichung des Patches verwundbar", schreibt Becker.

Unter iOS müssen neben Safari auch die Browser anderer Hersteller die Rendering-Engine Webkit verwenden. Darüber hinaus übernimmt Webkit auch das In-App-Rendering von Apps, die auf Webtechniken aufbauen oder sie nutzen - wie Apple Mail und viele weitere. Dort hatte Apple erst Anfang des Monats mehrere Zero Days geschlossen, den Patch für die aktuelle Sicherheitslücke hatte der iPhone-Hersteller jedoch wochenlang nicht übernommen.

Schwachstelle in WebKit-Implementierung von Audioworklet

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
Weitere IT-Trainings

Bei der Sicherheitslücke handelt es sich um einen Type-Confusion-Bug in der WebKit-Implementierung von Audioworklet. Die Schnittstelle erlaubt es Entwicklern, Audiosignale zu rendern, zu manipulieren oder auszugeben und die Latenz zu verringern. Im Blogeintrag beschreibt Becker, wie die Lücke ausgenutzt werden kann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Um Schadcode aus der Ferne ausführen zu können, müsse ein Angreifer jedoch die Sicherheitsfunktion Pointer Authentication Codes (PAC) umgehen. Das System zur Abschwächung von Sicherheitslücken, PAC, erfordert eine kryptographische Signatur, bevor Code im Speicher ausgeführt werden kann. Die Sicherheitsfirma hat Proof-of-Concept-Code (PoC) für den Exploit veröffentlicht.

Die Sicherheitslücke könnte jedoch mit anderen kombiniert werden, um Schadcode auf Geräten von Apple auszuführen. Das sogenannte Chaining von Sicherheitslücken ist nicht unüblich. Im März berichtet Googles Project Zero von einer Hackergruppe, die solche Exploit-Ketten unter iOS, Windows und Android verwendet hatte. Bei der Hackergruppe soll es sich um einen westlichen Geheimdienst handeln.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Autoindustrie
Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
Von Wolfgang Gomoll

Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
Artikel
  1. Windenergie: Siemens Energy plant Übernahme von Gamesa
    Windenergie
    Siemens Energy plant Übernahme von Gamesa

    Der Konzern könnte die angeschlagene Windkraft-Tochter ganz übernehmen. Die Aktienkurse stiegen nach Bestätigung der Gerüchte an.

  2. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

  3. Ukrainekrieg: Warum das Internet in der Ukraine noch läuft
    Ukrainekrieg
    Warum das Internet in der Ukraine noch läuft

    Kaum Monopolisten, keine zentralen Internet-Exchanges, schnelle Reparaturen und Hardwarespenden: Das Netz der Ukraine ist sehr widerstandsfähig.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /