Webkit: Apple warnt vor Zero Days in iOS und MacOS
Die Apple-Lücken in Webkit werden wohl bereits aktiv ausgenutzt. Das Unternehmen stellt Updates bereit.

Der iPhone-Hersteller Apple hat innerhalb von nur einer Woche insgesamt drei kritische Sicherheitslücken in seinem Mobilsystem iOS geschlossen. Dazu stellt das Unternehmen die Updates auf Version iOS 14.5.1 und iPadOS 14.5.1 bereit, die schnell eingespielt werden sollten. Die Fehler finden sich auch in MacOS und werden mit Version 11.3.1 behoben.
Die beiden nun zuletzt mit dem Update außer der Reihe geschlossenen Lücken (CVE-2021-30663 und CVE-2021-30665) ermöglichen es Angreifern, unter bestimmten Umständen Code auf einem zuvor vollständig aktualisierten Geräte auszuführen. Die Lücken befinden sich erneut in der Rendering-Engine Webkit, die als Grundlage für Safari und zwangsweise auch für alle anderen Browser auf iOS genutzt wird. Darüber hinaus übernimmt Webkit auch das In-App-Rendering von Apps, die auf Web-Techniken aufbauen oder sie nutzen - wie Apple Mail und viele weitere.
Bereits in der vergangenen Woche hatte Apple eine Zero-Day-Sicherheitslücke (CVE-2021-30661) in der Komponente Webkit Storage mit einem Update geschlossen, die ebenfalls das Ausführen von Code ermöglicht. Auch diese Lücke war in MacOS vorhanden. Zwei der genannten Lücken sind laut Apple von der chinesischen Sicherheitsfirma Qihoo 360 entdeckt und gemeldet worden.
Zu allen Lücken heißt es, dass die Verarbeitung von schadhaften speziell präparierten Web-Inhalten zum Ausnutzen der Lücken ausreiche. Etwas zurückhaltend schreibt der iOS-Hersteller außerdem: "Apple ist bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde."
Kritische Lücken ähneln sich häufig
Die verschiedenen Rendering-Engines der Betriebssysteme, insbesondere Chrome für Android und Webkit unter iOS, sind immer wieder beliebte Ziele auch großangelegter Angriffswellen mit Hilfe von Zero-Days. Zuletzt ist dies etwa im vergangenen Herbst geschehen. Dabei hatten die Sicherheitsforscher von Googles Project Zero vor ausgenutzten Lücken in Windows, Chrome und auch in iOS und MacOS gewarnt, die auf Fehler des im Browser genutzten Fontparser zurückzuführen waren.
Erst Anfang dieses Jahres berichtete Maddie Stone für Googles Project Zero, dass sich viele Zero Days stark ähneln oder auch Varianten von zuvor nur unvollständig geschlossen Lücken sind. Die vollständig gleichlautende Beschreibung der nun geschlossenen Lücken durch Apple in Webkit sind ein Hinweis darauf, dass dies hier ebenfalls der Fall zu sein scheint.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Das entsprechende Safari Update für ältere Betriebssysteme ist ebenfalls vorhanden.
Wenn ich bspw. auch nativen Firefox nutzen könnte, dann verringert das das Risiko eines...