Multiple Products

Die Schwachstelle steckt in WebKit, der Browser-Engine, die Apple in iOS, iPadOS, macOS und im Browser Safari zum Verarbeiten und Darstellen von Webinhalten einsetzt. Es handelt sich um einen Use-after-free-Fehler: Die Engine greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Durch gezielt präparierte Webinhalte – etwa eine manipulierte Webseite – kann ein Angreifer diesen Fehler auslösen und beliebigen Code auf dem Gerät ausführen. Es genügt, dass das Opfer entsprechend gestaltete Inhalte öffnet. Betroffen sind nicht nur Safari und Apples Betriebssysteme, sondern auch fremde Produkte, die WebKit zum Verarbeiten von HTML nutzen, etwa darauf aufbauende HTML-Parser. Apple liegen Hinweise vor, dass die Lücke bereits aktiv für Angriffe ausgenutzt wurde, was die Bedrohung über ein theoretisches Risiko hinaushebt.