Multiple Products

Die Schwachstelle steckt in WebKit, der Browser-Engine, die Apple in mehreren Produkten – iOS, iPadOS, macOS, tvOS, watchOS und dem Browser Safari – zur Verarbeitung von Webinhalten einsetzt. Es handelt sich um einen Lesezugriff außerhalb der vorgesehenen Speichergrenzen (Out-of-Bounds Read), der auf eine unzureichende Prüfung der Eingabedaten zurückgeht. Ein Angreifer kann dafür eine speziell präparierte Webseite gestalten: Allein das Verarbeiten dieser manipulierten Webinhalte genügt, um Daten aus benachbarten Speicherbereichen auszulesen und so vertrauliche Informationen offenzulegen. Eine Anmeldung ist nicht erforderlich, der Aufruf der bösartigen Inhalte reicht aus. Betroffen sind nicht nur Apples eigene Programme wie Safari, sondern auch fremde Anwendungen, die WebKit zur Darstellung und Auswertung von HTML nutzen. Apple liegen Hinweise vor, dass die Lücke bereits aktiv für Angriffe ausgenutzt wurde.