iOS 14.6 und Co. noch verwundbar: Offene Lücke lässt bösartigen Code aufs iPhone

Eine weitere durchaus gravierende Sicherheitslücke steckt derzeit in Apples Browser-Engine Webkit. Hier hat Apple in den letzten Wochen schon mehrmals zügig reagiert und Löcher gestopft, eine weitere Lücke hat man aber auch im jüngsten Update nicht berücksichtigt – obwohl es hierfür bereits einen Patch gibt.

Erneut ist es Webkit, die Browser-Engine, die in Safari auf iPhone, iPad, macOS und der Apple Watch Webseiten anzeigt, die für ein Sicherheitsproblem verantwortlich ist. Webkit ist die Engine von Safari und sie wird auch genutzt, wenn unter iOS mit anderen Browsern oder innerhalb von Apps Webinhalte angezeigt werden. Umso wichtiger ist es, dass Webkit immer aktuell gehalten und bekannte Lücken beseitigt werden.

Apple hat in den letzten Monaten gezeigt, dass man hier auch auf Draht ist – in der Regel. Jüngstes Beispiel für eine rasch geschlossene Lücke in Webkit war das Sicherheitsupdate auf iOS 14.5.1. Nun aber wurde erneut eine Lücke in Webkit gefunden und Apple unternahm bis jetzt nichts.

Patch gegen Schwachstelle ist schon fertig

Entdeckt worden ist diese Schwachstelle von Sicherheitsforschern der Firma Theori. Sie steckt in AudioWorklet, der Komponente, die die Audioausgabe von Webseiten steuert. Unter Ausnutzung der Lücke kann Safari zum Absturz gebracht werden, was aber entscheidender ist: Angreifer können auf diesem Wege fremden Code auf ein iOS-Gerät bringen und ausführen, lassen sich die Experten in Medienberichten zitieren.

Noch überraschender: Für diese Lücke gibt es bereits einen fertigen Patch. Er wurde von außerhalb Apples für das Webkot-Projekt eingereicht, doch Apple hat ihn noch nicht in die stabile Version von Webkit aufgenommen. Auch iOS 14.6 und Co. sind noch verwundbar. Wieso Apple die Lücke nicht schloss, ist nicht bekannt. Dies geschieht entweder mit einem weiteren .6.1.-Update, oder in iOS 14.7, das aktuell in der Beta steckt.

