Apple hat in der Nacht zum Mittwoch alle seine Betriebssysteme aktualisiert, um gefährliche Sicherheitslücken in der Browser-Engine WebKit zu schließen. Diese wurden von Clément Lecigne und Benoît Sevens aus der Threat Analysis Group (TAG) von Google entdeckt. Apple zufolge gibt es Berichte, laut denen die Bugs bereits aktiv gegen – nicht näher genannte – Zielpersonen eingesetzt werden, es existieren also bereits Exploits. Entsprechend sollte man schnell aktualisieren.
Anzeige
Geschlossen werden die insgesamt zwei Lücken mit Updates auf iOS 18.1.1 und iPadOS 18.1.1, macOS 15.1.1 sowie visionOS 2.1.1. Weiterhin versorgt Apple auch Nutzer von iOS 17 und iPadOS 17 mit Fixes, diese stecken in den neuen Versionen iOS 17.7.2 und iPadOS 17.7.2. Verwender von macOS 13 und 14 (Ventura und Sonoma) müssen ihr Betriebssystem nicht aktualisieren, bei diesen reicht es, ein Update auf Safari 18.1.1 vorzunehmen. Wie üblich werden alle Aktualisierungen über die Systemeinstellungen angestoßen.
Die gepatchten Bugs tragen die CVE-IDs 2024-44308 und 2024-44309 (WebKit-Bugzilla: 283063 und 283095). Der erste Fehler steckt in JavaScriptCore und kann zur Ausführung beliebigen Codes führen, nur wenn man eine Website aufruft. Apple behebt dies mit "verbesserten Checks". Der zweite Fehler erlaubt Cross-Site-Scripting-Angriffe ebenfalls über manipulierte Websites. Hier gab es ein Cookie-Management-Problem, das Apple behoben hat.
Beide Bugs wurden womöglich in Kombination ausgenutzt; wie genau, ist aber noch unklar. Laut Apple wurden bislang aber nur Intel-basierte Mac-Systeme angegriffen, doch die Lücke betrifft auch Apple Silicon. Es ist zu hoffen, dass sich Googles TAG künftig mit näheren Details äußert, im offiziellen Blog des Sicherheitsteams war bislang noch kein neuer Eintrag zu finden.
Apple selbst nennt zu solchen Exploits in den seltensten Fällen eigene Details, überlässt dies den Entdeckern. Das ist für Hersteller von Anti-Malware-Produkten schlecht, da diese zunächst nicht nach möglichen Infektionen suchen können. Googles TAG hatte in der Vergangenheit schon zahlreiche Lücken in Apple-Systemen entdeckt, arbeitet auch mit Presse- und Menschenrechtsschützern zusammen.
Anzeige
Kommentare