Webkit: Apple warnt vor Zero Days in iOS und MacOS

Die Apple-Lücken in Webkit werden wohl bereits aktiv ausgenutzt. Das Unternehmen stellt Updates bereit.

Artikel veröffentlicht am ,
Apple stellt Updates für iOS bereit.
Apple stellt Updates für iOS bereit. (Bild: Tobias Költzsch/Golem.de)

Der iPhone-Hersteller Apple hat innerhalb von nur einer Woche insgesamt drei kritische Sicherheitslücken in seinem Mobilsystem iOS geschlossen. Dazu stellt das Unternehmen die Updates auf Version iOS 14.5.1 und iPadOS 14.5.1 bereit, die schnell eingespielt werden sollten. Die Fehler finden sich auch in MacOS und werden mit Version 11.3.1 behoben.

Stellenmarkt
  1. SAP MM Senior Prozess-Berater (m/w/x)
    über duerenhoff GmbH, Raum Hamburg
  2. IT-Spezialist (m/w/d)
    Lotto Bayern | Abteilung 1 Referat 12 | HR-Marketing & Entwicklung, München
Detailsuche

Die beiden nun zuletzt mit dem Update außer der Reihe geschlossenen Lücken (CVE-2021-30663 und CVE-2021-30665) ermöglichen es Angreifern, unter bestimmten Umständen Code auf einem zuvor vollständig aktualisierten Geräte auszuführen. Die Lücken befinden sich erneut in der Rendering-Engine Webkit, die als Grundlage für Safari und zwangsweise auch für alle anderen Browser auf iOS genutzt wird. Darüber hinaus übernimmt Webkit auch das In-App-Rendering von Apps, die auf Web-Techniken aufbauen oder sie nutzen - wie Apple Mail und viele weitere.

Bereits in der vergangenen Woche hatte Apple eine Zero-Day-Sicherheitslücke (CVE-2021-30661) in der Komponente Webkit Storage mit einem Update geschlossen, die ebenfalls das Ausführen von Code ermöglicht. Auch diese Lücke war in MacOS vorhanden. Zwei der genannten Lücken sind laut Apple von der chinesischen Sicherheitsfirma Qihoo 360 entdeckt und gemeldet worden.

Zu allen Lücken heißt es, dass die Verarbeitung von schadhaften speziell präparierten Web-Inhalten zum Ausnutzen der Lücken ausreiche. Etwas zurückhaltend schreibt der iOS-Hersteller außerdem: "Apple ist bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde."

Kritische Lücken ähneln sich häufig

Golem Akademie
  1. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
  2. PostgreSQL Fundamentals
    14.-17. September 2021, online
Weitere IT-Trainings

Die verschiedenen Rendering-Engines der Betriebssysteme, insbesondere Chrome für Android und Webkit unter iOS, sind immer wieder beliebte Ziele auch großangelegter Angriffswellen mit Hilfe von Zero-Days. Zuletzt ist dies etwa im vergangenen Herbst geschehen. Dabei hatten die Sicherheitsforscher von Googles Project Zero vor ausgenutzten Lücken in Windows, Chrome und auch in iOS und MacOS gewarnt, die auf Fehler des im Browser genutzten Fontparser zurückzuführen waren.

Neu Apple iPad Air (10,9 Zoll, Wi-Fi, 256 GB) - Space Grau (Neuste Modell, 4. Generation)

Erst Anfang dieses Jahres berichtete Maddie Stone für Googles Project Zero, dass sich viele Zero Days stark ähneln oder auch Varianten von zuvor nur unvollständig geschlossen Lücken sind. Die vollständig gleichlautende Beschreibung der nun geschlossenen Lücken durch Apple in Webkit sind ein Hinweis darauf, dass dies hier ebenfalls der Fall zu sein scheint.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Georg T.
Wieder Haft gegen Nichtzahler der Rundfunkgebühr

Georg T. sitzt seit 109 Tagen in Haft. Grund dafür sind 1.827 Euro Schulden für die Rundfunkgebühr - seine Haft kostet rund 18.000 Euro.

Georg T.: Wieder Haft gegen Nichtzahler der Rundfunkgebühr
Artikel
  1. MIG: Scheuers Funkloch GmbH hat erst zwei Stellen besetzt
    MIG
    Scheuers Funkloch GmbH hat erst zwei Stellen besetzt

    Der Bundesverkehrsminister scheint kein Personal für die Mobilfunkinfrastrukturgesellschaft zu finden.

  2. Square Enix: Action-Adventure mit den Guardians of the Galaxy angekündigt
    Square Enix
    Action-Adventure mit den Guardians of the Galaxy angekündigt

    E3 2021 Erinnert an Mass Effect, aber mit Humor und Groot: Square Enix will noch 2021 das Solo-Abenteuer Guardians of the Galaxy veröffentlichen.

  3. Bethesda: Starfield mit Rätseln und Doom Eternal mit 120 fps
    Bethesda
    Starfield mit Rätseln und Doom Eternal mit 120 fps

    E3 2021 Der Teaser von Starfield lädt zum Knoblen ein, Redfall bietet Blutsauger - und Doom Eternal erhält das Next-Gen-Grafikupdate.

abcde 05. Mai 2021 / Themenstart

Das entsprechende Safari Update für ältere Betriebssysteme ist ebenfalls vorhanden.

Steffo 04. Mai 2021 / Themenstart

Wenn ich bspw. auch nativen Firefox nutzen könnte, dann verringert das das Risiko eines...

Kommentieren


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Corsair Hydro H80i V2 RGB 73,50€ • Apple iPad 10.2 389€ • Razer Book 13 1.158,13€ • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ [Werbung]
    •  /