• IT-Karriere:
  • Services:

Webkit: Apple warnt vor Zero Days in iOS und MacOS

Die Apple-Lücken in Webkit werden wohl bereits aktiv ausgenutzt. Das Unternehmen stellt Updates bereit.

Artikel veröffentlicht am ,
Apple stellt Updates für iOS bereit.
Apple stellt Updates für iOS bereit. (Bild: Tobias Költzsch/Golem.de)

Der iPhone-Hersteller Apple hat innerhalb von nur einer Woche insgesamt drei kritische Sicherheitslücken in seinem Mobilsystem iOS geschlossen. Dazu stellt das Unternehmen die Updates auf Version iOS 14.5.1 und iPadOS 14.5.1 bereit, die schnell eingespielt werden sollten. Die Fehler finden sich auch in MacOS und werden mit Version 11.3.1 behoben.

Stellenmarkt
  1. ifp ? Personalberatung Managementdiagnostik, Rheinland
  2. Universitätsklinikum Frankfurt, Frankfurt am Main

Die beiden nun zuletzt mit dem Update außer der Reihe geschlossenen Lücken (CVE-2021-30663 und CVE-2021-30665) ermöglichen es Angreifern, unter bestimmten Umständen Code auf einem zuvor vollständig aktualisierten Geräte auszuführen. Die Lücken befinden sich erneut in der Rendering-Engine Webkit, die als Grundlage für Safari und zwangsweise auch für alle anderen Browser auf iOS genutzt wird. Darüber hinaus übernimmt Webkit auch das In-App-Rendering von Apps, die auf Web-Techniken aufbauen oder sie nutzen - wie Apple Mail und viele weitere.

Bereits in der vergangenen Woche hatte Apple eine Zero-Day-Sicherheitslücke (CVE-2021-30661) in der Komponente Webkit Storage mit einem Update geschlossen, die ebenfalls das Ausführen von Code ermöglicht. Auch diese Lücke war in MacOS vorhanden. Zwei der genannten Lücken sind laut Apple von der chinesischen Sicherheitsfirma Qihoo 360 entdeckt und gemeldet worden.

Zu allen Lücken heißt es, dass die Verarbeitung von schadhaften speziell präparierten Web-Inhalten zum Ausnutzen der Lücken ausreiche. Etwas zurückhaltend schreibt der iOS-Hersteller außerdem: "Apple ist bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde."

Kritische Lücken ähneln sich häufig

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    3.-7. Mai 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Die verschiedenen Rendering-Engines der Betriebssysteme, insbesondere Chrome für Android und Webkit unter iOS, sind immer wieder beliebte Ziele auch großangelegter Angriffswellen mit Hilfe von Zero-Days. Zuletzt ist dies etwa im vergangenen Herbst geschehen. Dabei hatten die Sicherheitsforscher von Googles Project Zero vor ausgenutzten Lücken in Windows, Chrome und auch in iOS und MacOS gewarnt, die auf Fehler des im Browser genutzten Fontparser zurückzuführen waren.

Neu Apple iPad Air (10,9 Zoll, Wi-Fi, 256 GB) - Space Grau (Neuste Modell, 4. Generation)

Erst Anfang dieses Jahres berichtete Maddie Stone für Googles Project Zero, dass sich viele Zero Days stark ähneln oder auch Varianten von zuvor nur unvollständig geschlossen Lücken sind. Die vollständig gleichlautende Beschreibung der nun geschlossenen Lücken durch Apple in Webkit sind ein Hinweis darauf, dass dies hier ebenfalls der Fall zu sein scheint.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 26,99€
  2. 6,50€

abcde 05. Mai 2021 / Themenstart

Das entsprechende Safari Update für ältere Betriebssysteme ist ebenfalls vorhanden.

Steffo 04. Mai 2021 / Themenstart

Wenn ich bspw. auch nativen Firefox nutzen könnte, dann verringert das das Risiko eines...

Kommentieren


Folgen Sie uns
       


Sony Alpha 1 - Fazit

Die Alpha 1 von Sony überzeugt in unserem Test.

Sony Alpha 1 - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /