Neuer Exploit in WebKit entdeckt – der nicht gefixt wurde

Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,

einer der Gründe für die letzten Updates für die letzten Updates von iOS/iPadOS sowie macOS waren neben neuen Funktionen auch eine kritische Sicherheitslücke in der WebKit-Engine von Safari. Die versuchte das Unternehmen wiederholt zu schließen, mit mäßigem Erfolg. Denn Sicherheitsforscher entdeckten eine neue Sicherheitslücke.

Neuer Exploit entdeckt

Erst mit den letzten Updates Anfang der Woche adressierte Apple wiederholt die WebKit-Engine, doch Sicherheitsforscher von Theori entdeckten eine neue Schwachstelle – und meldeten diese vor rund drei Wochen an Apple. Berichtet wurde dies zuerst von ArsTechnica. Der nun gefundene Exploit hängt mit AudioWorklet zusammen, das die Audioausgabe auf Webseiten verwaltet und Safari zum Absturz bringt. Mit den richtigen Befehlen können Angreifer diesen Exploit verwenden, um bösartigen Code auf dem iPhone, iPad und Mac auszuführen.

Wie Theori betonte, sollte das Fenster zwischen einem öffentlichen Patch und seiner Aufnahme in offizielle Veröffentlichungen „so klein wie möglich“ sein, aber aus irgendeinem unbekannten Grund erkennt Apple den Exploit noch nicht an bzw. priorisiert ihn nicht – zur allgemeinen Verwunderung

Der Exploit lässt sich auch mit den aktuellsten Updates nach wie vor ausnutzen, wenngleich dies nicht so einfach ist. Es braucht eine spezielle Signatur, die ausgeführt werden muss, um die Schwachstelle ausnutzen zu können. Ohne die Signatur oder eine Umgehung wäre es unmöglich, dass bösartiger Code, der vom WebKit-Exploit geschrieben wurde, tatsächlich ausgeführt werden könnte.

Wird wohl erst mit iOS 14.7 und macOS 11.5 gefixt

Wie dem auch sei, die Schwachstelle ist immer noch offen und jeder Tag bietet potenziuellen Angreifern mehr Zeit, diese auzunutzen. Es ist davon auszugehen, dass diese erst mit iOS 14.7 geschlossen wird. Wann wir das Update sehen, ist indes ungewiss. Am Dienstag ist gerade einmal die zweite Beta von iOS 14.7 online gegangen.

Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick a.k.a. Meister des Apfels

Kaffeekasse

Spendiere mir einen Kaffee und unterstütze damit meinen Blog und meine Arbeit

3,00 €

Kommentar verfassen

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑

%d Bloggern gefällt das: