AllInfo

WebKit: Apple behebt kritische Schwachstellen in Safari

Apple hat zwei Schwachstellen in Safari respektive in der dem Browser zugrundeliegenden HTML-Render-Engine WebKit, einer weiterentwickelten Abspaltung von KHTML und der JavaScript-Implementierung KJS, behoben und dazu Updates für iOS und iPadOS sowie macOS und watchOS veröffentlicht.

Updates für iOS, iPadOS, watchOS und macOS

Neben iOS 14.5.1 und iPadOS 14.5.1 veröffentlichte das Unternehmen watchOS 7.4.1 sowie macOS 11.3.1. Allen neuen Versionen gemein ist ein Bugfix für die beiden zuvor als kritisch eingestuften Schwachstellen CVE-2021-30665 und CVE-2021-30663, die nun mit den entsprechenden Updates geschlossen werden.

Apple empfiehlt, die Updates aus Sicherheitsgründen umgehend zu installieren.

iOS und iPadOS 14.5.1 – Release Notes

WebKit

  • Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
  • Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
  • Description: A memory corruption issue was addressed with improved state management.
  • CVE-2021-30665: yangkang (@dnpushme)&zerokeeper&bianliang of 360 ATA
WebKit

  • Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, iPad mini 4 and later, and iPod touch (7th generation)
  • Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
  • Description: An integer overflow was addressed with improved input validation.
  • CVE-2021-30663: an anonymous researcher

watchOS 7.4.1 – Release Notes

WebKit

  • Available for: Apple Watch Series 3 and later
  • Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
  • Description: A memory corruption issue was addressed with improved state management.
  • CVE-2021-30665: yangkang (@dnpushme)&zerokeeper&bianliang of 360 ATA

macOS 11.3.1 – Release Notes

WebKit

  • Available for: macOS Big Sur
  • Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
  • Description: A memory corruption issue was addressed with improved state management.
  • CVE-2021-30665: yangkang (@dnpushme)&zerokeeper&bianliang of 360 ATA
WebKit

  • Available for: macOS Big Sur
  • Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited.
  • Description: An integer overflow was addressed with improved input validation.
  • CVE-2021-30663: an anonymous researcher

Die Sicherheitslücke besteht aufgrund eines Begrenzungsfehlers („Boundary Error“) in WebKit. Ein entfernter Angreifer kann über eine entsprechend manipulierte Website einen beliebigen schadhaften Code auf dem Zielsystem der Opfers auszuführen.

Die Sicherheitslücke wurde bereits aktiv in freier Wildbahn ausgenutzt und wird erst mit der Installation der entsprechenden Updates geschlossen. Auf einem iPhone 12 ist das Update auf iOS 14.5.1 rund 130 MB groß.

Die Redaktion dankt Community-Mitglied „Vigilant“ für den Hinweis zu dieser Meldung.

Posted

in

by

admin

Tags: