In iOS 14.6 steckt nach wie vor eine offene Lücke, die sich in Webkit verbirgt, der Browser-Engine, die Webseiten auf iPhone und Mac erscheinen lässt. Apple liegt bereits ein fertiges Patch gegen diese Schwachstelle vor. Aus unbekannten Gründen hat man es aber nicht in das jüngste Update auf iOS 14.6 einfließen lassen.
Apples iOS und iPadOS sind aktuell noch von einer Sicherheitslücke betroffen: Diese steckt erneut in Webkit, dem Kern von Safari. Webkit stellt Websites auf iPhone, iPad und Mac sowie auf der Apple Watch dar und ist auch die technische Grundlage für alternative Browser auf iPhone und iPad. In den letzten Wochen hat Apple mehrfach kurzfristig Lücken in Webkit geschlossen, so zuletzt etwa mit dem Update auf iOS 14.5.1 und iPadOS 14.5.1. Doch derzeit klafft schon wieder eine Lücke in Webkit, die ebenfalls potenziell kritisch ist.
Apple wurde bereits mit fertigem Patch versorgt
Diese Lücke steckt konkret in AudioWorklet, der Komponente von Webkit, die für die Wiedergabe von Audioinhalten durch Webseiten verantwortlich ist.
Entdeckt wurde das Problem von Sicherheitsforschern der Firma Theori. Diese machten in diesem Zusammenhang noch auf ein interessantes zusätzliches Detail aufmerksam, über das sie in Medienberichten sprechen: Gegen diese Lücke existiert bereits ein Patch. Es wurde von außerhalb Apples bereits vor einigen Wochen in das Webkir-Projekt eingebracht, doch von Apple bis jetzt nicht in iOS implementiert.
Auch das aktuelle iOS 14.6 und iPadOS 14.6 ist noch verwundbar. Unter Ausnutzung dieser Lücke ist es einem Angreifer möglich, bösartigen Code auf ein iPhone zu bringen und auszuführen. Wann Apple iPhone und iPad gegen diese Schwachstelle schützt, ist nicht bekannt.