Multiple Products

Die Schwachstelle steckt in WebKit, der Browser-Engine, die Apple in mehreren seiner Produkte einsetzt – darunter die mobilen Systeme iOS und iPadOS, das Mac-Betriebssystem macOS, das Fernsehsystem tvOS sowie der Browser Safari. Es handelt sich um einen Ganzzahlüberlauf: Bei der Verarbeitung von Webinhalten wird ein Zahlenwert nicht ausreichend geprüft, sodass er den vorgesehenen Wertebereich überschreitet und die Speicherverwaltung durcheinandergerät. Bringt ein Angreifer das Opfer dazu, eine eigens präparierte Webseite zu öffnen, kann er darüber beliebigen Code auf dem Gerät ausführen. Der Angriff erfolgt allein über das Betrachten manipulierter Webinhalte und erfordert keine weitere Aktion des Nutzers. Betroffen sind nicht nur Safari und andere Apple-Produkte, sondern auch fremde Anwendungen, die WebKit zur Darstellung und Auswertung von HTML verwenden – die Angriffsfläche reicht damit über das Apple-Ökosystem hinaus.