Multiple Products

Die Schwachstelle liegt in WebKit, der Browser-Engine von Apple, die in iOS, iPadOS, macOS und dem Browser Safari für die Darstellung von Webinhalten zuständig ist. Es handelt sich um eine sogenannte Type Confusion: Die Engine verwechselt den Typ eines Datenobjekts und behandelt einen Speicherbereich anders, als er tatsächlich angelegt wurde. Ein Angreifer kann diesen Fehler über speziell präparierte Webinhalte auslösen – es genügt, dass das Opfer eine manipulierte Seite öffnet. Dadurch lässt sich beliebiger Schadcode auf dem Gerät ausführen. Betroffen sind nicht nur Apples eigene Produkte und Safari, sondern auch andere Programme, die WebKit zur Verarbeitung von HTML nutzen. Da die Lücke allein durch das Anzeigen von Webinhalten ausgenutzt werden kann und nach Apples Kenntnis bereits aktiv für Angriffe missbraucht wurde, ist der Angriffsweg über das bloße Surfen besonders heikel.