Apples in der Nacht zum Mittwoch erschienene Updates für iOS, iPadOS und macOS sollten dringend schnell eingespielt werden: Wie nun erst bekannt wurde, wird damit auch ein WebKit-Bug gefixt, für den es bereits einen Exploit gibt. Dieser wird allerdings bislang nur verwendet, um Chrome-Nutzer anzugreifen, wie es in der zugehörigen NIST-Meldung heißt (CVE-2025-6558). Der Fehler wird mit "Severity: High" bewertet. Verwirrend: Apple warnt in seinen Sicherheitsunterlagen nicht vor bekannten aktiven Angriffen – offenbar, weil es für den Apple-Browser Safari noch keine entsprechenden Berichte gibt.
Laut Google, dessen eigene Threat Analysis Group (TAG) den Fehler entdeckt hat, hat man in Chrome Versionen vor 138.0.7204.157 beobachtet, wie es einem entfernten Angreifer über eine manipulierte Website gelang, einen Sandbox-Ausbruch durchzuführen, der dann zu weiteren Problemen führt. Grund ist die Verarbeitung nicht verifizierter Inputs in den Modulen GPU und ANGLE.
Apple selbst schreibt nur, dass CVE-2025-6558 zu einem "unerwarteten Absturz" in Safari führen könne, von einem Sandbox-Ausbruch ist dort nicht die Rede. Es könnte also sein, dass der Schweregrad auf Apple-Plattformen geringer ist – eine Bestätigung dazu gibt es bislang aber nicht. Apple schreibt weiter, es handele sich um eine Lücke "im Open-Source-Code" und Apples eigene Software sei "unter den betroffenen Produkten".
Der WebKit-Bug wird – zusammen mit zahlreichen weiteren Fehlern – sowohl in iOS 18.6 als auch in iPadOS 18.6 und macOS 15.6 behoben. Weiterhin erschien um einen Tag verzögert auch ein Update für macOS 13 (Ventura) und 14 (Sonoma): Safari 18.4 als Einzeldownload. Warum Apple den Browser für die älteren Systeme hier zunächst verzögert hatte, ist bislang unklar. Den Fix enthält weiterhin auch iPadOS 17.7.9, das Apple parallel zu iOS 18.6 und Co. veröffentlicht hatte. iOS 17 wird vom Hersteller hingegen nicht weiter gepflegt.
Der Vorgang zeigt, dass man bei Sicherheitsupdates genau hinschauen muss. Googles TAG hat bislang noch nicht verraten, wer die Angreifer waren und wie verbreitet der Exploit auf Chrome ist. Wer den Browser (oder darauf aufbauende mit Chromium) nutzt, sollte auch diesen dringend aktualisieren – gegen den Exploit hilft die Installation einer aktuellen Safari- oder macOS-Version nämlich nicht.
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen. Preisvergleiche immer laden
Kommentare