iOS, iPadOS, and macOS

Die Schwachstelle steckt in WebKit, der Browser-Engine, die Apple in iOS, iPadOS und macOS einsetzt und die für die Darstellung und Verarbeitung von Webinhalten zuständig ist. Es handelt sich um einen Use-after-Free-Fehler: Das Programm greift auf einen Speicherbereich zu, der bereits freigegeben wurde, was zu unkontrolliertem Verhalten führt. Ein Angreifer kann dies ausnutzen, indem er speziell präparierte Webinhalte bereitstellt; verarbeitet das Gerät diese Inhalte – etwa beim Aufruf einer entsprechend gestalteten Webseite –, lässt sich beliebiger Code ausführen. Betroffen sind alle Anwendungen, die auf WebKit zur Verarbeitung von HTML zurückgreifen, also Apples eigener Browser Safari, aber auch Produkte anderer Hersteller, die WebKit für die HTML-Darstellung verwenden. Damit reicht bereits der Besuch einer manipulierten Seite aus, um ein Gerät zu kompromittieren. Es liegen Hinweise vor, dass die Lücke bereits aktiv ausgenutzt wurde.