Multiple Products

Die Schwachstelle betrifft WebKit, die Browser-Engine, die Apple in zahlreichen seiner Produkte einsetzt – darunter iOS, iPadOS, macOS, tvOS, watchOS sowie der Browser Safari. Es handelt sich um einen Use-after-Free-Fehler: Die Software greift auf einen Speicherbereich zu, der zuvor bereits freigegeben wurde. Auslösen lässt sich der Defekt allein dadurch, dass die Engine eine eigens präparierte Webseite verarbeitet. Ruft das Opfer eine vom Angreifer gestaltete Webseite auf, kann dieser den fehlerhaften Speicherzugriff ausnutzen, um eigenen Code auf dem Gerät auszuführen. Da WebKit das Anzeigen von Webinhalten übernimmt, genügt bereits der bloße Seitenaufruf, ohne dass das Opfer weitere Aktionen vornehmen muss. Betroffen ist nicht nur Safari, sondern jede Anwendung, die WebKit zum Verarbeiten von HTML-Inhalten nutzt – einschließlich Produkten anderer Hersteller, die auf diese Engine zurückgreifen. Es liegen Hinweise vor, dass die Lücke bereits aktiv ausgenutzt wurde.