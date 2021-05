Apple sieht sich mit einer weiteren 0-day-Schwachstellen konfrontiert: Eine in der Browser-Engine WebKit bereits vor Wochen von Drittentwicklern beseitigte Sicherheitslücke ist noch nicht in die allgemein verfügbare WebKit-Fassung in iOS und macOS eingeflossen, wie eine Sicherheitsfirma warnt – trotz mehrerer Updates für die Betriebssysteme. Die Lücke, die ein entfernter Angreifer zum Einschleusen von Schadcode über manipulierte Web-Inhalte ausnutzen könne, sei auch in den aktuellen Versionen iOS 14.6 und macOS 11.4 noch offen.

Patch-Gapping als Gefahr

Der Bug demonstriere erneut, dass "Patch-Gapping" – der Zeitabstand zwischen einem offengelegten Fix und dessen Auslieferung an Endnutzer – eine "signifikante Gefahr bei der Open-Source-Entwicklung darstellt", erläuterte ein Sicherheitsforscher von Theori. Das Zeitfenster zwischen öffentlichem Patch und der allgemeinen Bereitstellung einer stabilen Version müsse so klein wie möglich gehalten werden. Im konkreten Fall sei selbst die jüngste iOS-Version noch verwundbar und das mehrere Wochen nach Veröffentlichung des Patches.

WebKit ist in iOS nicht nur der Unterbau von Apples Browser Safari, sondern dient nach Vorschrift des Herstellers allen Browsern als Engine. Apple verteidigte die Zwangsmaßnahme in der Vergangenheit damit, dass man nur so für Sicherheit sorgen könne.

Exploit verfügbar

Als "Proof of Concept" hat die Sicherheitsfirma einen Exploit für die Sicherheitslücke veröffentlicht, man könne diesen als Teil einer größeren Exploit-Kette einsetzen. Um den Exploit scharfzuschalten, ist aber eine Umgehung der Pointer Authentication Codes (PACs) erforderlich – eine Sicherheitsfunktion auf Hardware-Ebene, die das Ausnutzen von Speicherfehlern verhindern soll. PACs kommen erst ab Apples A12-Chip (iPhone XS und neuer) zum Einsatz.

In den ersten Monaten des Jahres 2021 hat Apple inzwischen bereits acht 0-day-Schwachstellen in seinen Betriebssystemen beseitigt, sechs davon in WebKit, wie aus einer Aufstellung von Googles Sicherheits-Team Project Zero hervorgeht. Die Lücken wurden offenbar auch aktiv für Angriffe ausgenutzt.

(lbe)