Webkit: Apple warnt vor Zero Days in iOS und MacOS

Die Apple-Lücken in Webkit werden wohl bereits aktiv ausgenutzt. Das Unternehmen stellt Updates bereit.

Artikel veröffentlicht am ,
Apple stellt Updates für iOS bereit.
Apple stellt Updates für iOS bereit. (Bild: Tobias Költzsch/Golem.de)

Der iPhone-Hersteller Apple hat innerhalb von nur einer Woche insgesamt drei kritische Sicherheitslücken in seinem Mobilsystem iOS geschlossen. Dazu stellt das Unternehmen die Updates auf Version iOS 14.5.1 und iPadOS 14.5.1 bereit, die schnell eingespielt werden sollten. Die Fehler finden sich auch in MacOS und werden mit Version 11.3.1 behoben.

Die beiden nun zuletzt mit dem Update außer der Reihe geschlossenen Lücken (CVE-2021-30663 und CVE-2021-30665) ermöglichen es Angreifern, unter bestimmten Umständen Code auf einem zuvor vollständig aktualisierten Geräte auszuführen. Die Lücken befinden sich erneut in der Rendering-Engine Webkit, die als Grundlage für Safari und zwangsweise auch für alle anderen Browser auf iOS genutzt wird. Darüber hinaus übernimmt Webkit auch das In-App-Rendering von Apps, die auf Web-Techniken aufbauen oder sie nutzen - wie Apple Mail und viele weitere.

Bereits in der vergangenen Woche hatte Apple eine Zero-Day-Sicherheitslücke (CVE-2021-30661) in der Komponente Webkit Storage mit einem Update geschlossen, die ebenfalls das Ausführen von Code ermöglicht. Auch diese Lücke war in MacOS vorhanden. Zwei der genannten Lücken sind laut Apple von der chinesischen Sicherheitsfirma Qihoo 360 entdeckt und gemeldet worden.

Zu allen Lücken heißt es, dass die Verarbeitung von schadhaften speziell präparierten Web-Inhalten zum Ausnutzen der Lücken ausreiche. Etwas zurückhaltend schreibt der iOS-Hersteller außerdem: "Apple ist bekannt, dass dieses Problem möglicherweise aktiv ausgenutzt wurde."

Kritische Lücken ähneln sich häufig

Die verschiedenen Rendering-Engines der Betriebssysteme, insbesondere Chrome für Android und Webkit unter iOS, sind immer wieder beliebte Ziele auch großangelegter Angriffswellen mit Hilfe von Zero-Days. Zuletzt ist dies etwa im vergangenen Herbst geschehen. Dabei hatten die Sicherheitsforscher von Googles Project Zero vor ausgenutzten Lücken in Windows, Chrome und auch in iOS und MacOS gewarnt, die auf Fehler des im Browser genutzten Fontparser zurückzuführen waren.

Erst Anfang dieses Jahres berichtete Maddie Stone für Googles Project Zero, dass sich viele Zero Days stark ähneln oder auch Varianten von zuvor nur unvollständig geschlossen Lücken sind. Die vollständig gleichlautende Beschreibung der nun geschlossenen Lücken durch Apple in Webkit sind ein Hinweis darauf, dass dies hier ebenfalls der Fall zu sein scheint.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
27, 32 und 34 Zoll
Warum OLED-Monitore (noch) nichts fürs Büro sind

Hersteller bringen ihre OLED-Panels in immer besseren Displaygrößen heraus. Damit sie sich im Büro etablieren, muss aber noch viel passieren.
Eine Analyse von Oliver Nickel

27, 32 und 34 Zoll: Warum OLED-Monitore (noch) nichts fürs Büro sind
Artikel
  1. Börsenkurs fällt: Googles Chatbot Bard patzt in der ersten Präsentation
    Börsenkurs fällt
    Googles Chatbot Bard patzt in der ersten Präsentation

    Googles Chatbot Bard ist in einem Werbevideo angeteasert worden - und hat falsche Antworten geliefert. Der Aktienkurs von Alphabet fiel.

  2. Teams Free: Nutzer des kostenlosen Microsoft Teams verlieren ihre Daten
    Teams Free
    Nutzer des kostenlosen Microsoft Teams verlieren ihre Daten

    Ab April 2023 können Teams-User auf eine neue kostenlose Version umsteigen und ihre Daten zurücklassen oder Geld bezahlen und sie mitnehmen.

  3. Start in Europa: Netflix-Zusatzgebühr für Konten-Sharing kostet 5,99 Euro
    Start in Europa
    Netflix-Zusatzgebühr für Konten-Sharing kostet 5,99 Euro

    Netflix weitet die Aktivitäten gegen Konten-Sharing aus. Erstmals wird in Europa eine Zusatzgebühr dafür erhoben - vorerst noch nicht in Deutschland.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Finale der PCGH Cyber Week • MindStar: XFX RX 6950 XT 799€ • Neue Tiefstpreise DDR4/DDR5 • Lenovo 27" WQHD 165 Hz 299,99€ • Philips OLED TV 55" 120 Hz Ambilight -39% • Samsung SSD 2TB Heatsink (PS5-komp.) 189,99€ • Gaming-Monitore mit bis zu 44 % Rabatt • Roccat Vulcan 121 Aimo 139,99€ [Werbung]
    •  /