Webkit: Apple warnt vor Zero Days in iOS und MacOS

Die Apple-Lücken in Webkit werden wohl bereits aktiv ausgenutzt. Das Unternehmen stellt Updates bereit.

Artikel veröffentlicht am ,
Apple stellt Updates für iOS bereit.
Apple stellt Updates für iOS bereit. (Bild: Tobias Költzsch/Golem.de)

Der iPhone-Hersteller Apple hat innerhalb von nur einer Woche insgesamt drei kritische Sicherheitslücken in seinem Mobilsystem iOS geschlossen. Dazu stellt das Unternehmen die Updates auf Version iOS 14.5.1 und iPadOS 14.5.1 bereit, die schnell eingespielt werden sollten. Die Fehler finden sich auch in MacOS und werden mit Version 11.3.1 behoben.

Stellenmarkt
  1. Client-Administratoren (m/w/d)
    Flughafen Köln/Bonn GmbH, Köln
  2. Senior Product Model Designer (m/w/d)
    Vodafone GmbH, Eschborn
Detailsuche

Die beiden nun zuletzt mit dem Update außer der Reihe geschlossenen Lücken (CVE-2021-30663 und CVE-2021-30665) ermöglichen es Angreifern, unter bestimmten Umständen Code auf einem zuvor vollständig aktualisierten Geräte auszuführen. Die Lücken befinden sich erneut in der Rendering-Engine Webkit, die als Grundlage für Safari und zwangsweise auch für alle anderen Browser auf iOS genutzt wird. Darüber hinaus übernimmt Webkit auch das In-App-Rendering von Apps, die auf Web-Techniken aufbauen oder sie nutzen - wie Apple Mail und viele weitere.

Bereits in der vergangenen Woche hatte Apple eine Zero-Day-Sicherheitslücke (CVE-2021-30661) in der Komponente Webkit Storage mit einem Update geschlossen, die ebenfalls das Ausführen von Code ermöglicht. Auch diese Lücke war in MacOS vorhanden. Zwei der genannten Lücken sind laut Apple von der chinesischen Sicherheitsfirma Qihoo 360 entdeckt und gemeldet worden.

Zu allen Lücken heißt es, dass die Verarbeitung von schadhaften speziell präparierten Web-Inhalten zum Ausnutzen der Lücken ausreiche. Etwas zurückhaltend schreibt der iOS-Hersteller außerdem: "Apple ist bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde."

Kritische Lücken ähneln sich häufig

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    4. Februar 2022, virtuell
  2. Data Engineering mit Apache Spark: virtueller Zwei-Tage-Workshop
    25.–26. April 2022, Virtuell
Weitere IT-Trainings

Die verschiedenen Rendering-Engines der Betriebssysteme, insbesondere Chrome für Android und Webkit unter iOS, sind immer wieder beliebte Ziele auch großangelegter Angriffswellen mit Hilfe von Zero-Days. Zuletzt ist dies etwa im vergangenen Herbst geschehen. Dabei hatten die Sicherheitsforscher von Googles Project Zero vor ausgenutzten Lücken in Windows, Chrome und auch in iOS und MacOS gewarnt, die auf Fehler des im Browser genutzten Fontparser zurückzuführen waren.

Neu Apple iPad Air (10,9 Zoll, Wi-Fi, 256 GB) - Space Grau (Neuste Modell, 4. Generation)

Erst Anfang dieses Jahres berichtete Maddie Stone für Googles Project Zero, dass sich viele Zero Days stark ähneln oder auch Varianten von zuvor nur unvollständig geschlossen Lücken sind. Die vollständig gleichlautende Beschreibung der nun geschlossenen Lücken durch Apple in Webkit sind ein Hinweis darauf, dass dies hier ebenfalls der Fall zu sein scheint.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /