iOS, iPadOS, and macOS

Die Schwachstelle steckt in WebKit, der Browser-Engine, die Apple in iOS, iPadOS und macOS für die Darstellung von Webinhalten einsetzt. Es handelt sich um einen Use-after-free-Fehler: Das Programm greift auf einen Speicherbereich zu, der bereits freigegeben wurde. Beim Verarbeiten von speziell präpariertem Webinhalt – etwa beim Aufruf einer manipulierten Seite – lässt sich dieser Zustand gezielt herbeiführen, sodass ein Angreifer beliebigen Code auf dem Gerät ausführen kann. Da der Auslöser allein das Anzeigen von HTML-Inhalten ist, genügt es, das Opfer zum Öffnen einer entsprechenden Seite zu bewegen. Betroffen ist nicht nur Apples eigener Browser Safari, sondern grundsätzlich jeder HTML-Parser, der auf WebKit aufsetzt – einschließlich Anwendungen anderer Hersteller, die WebKit für die Verarbeitung von Webinhalten nutzen. Apple liegen Hinweise vor, dass die Lücke bereits aktiv ausgenutzt wurde.