Fehlerfreie Software gibt es nicht. Ab einem gewissen Komplexitätsgrad ist es praktisch unvermeidbar, dass sich Bugs einschleichen, die dann auch zum Teil sicherheitsrelevant sind – also für Angriffe ausgenutzt werden können. Umso wichtiger ist es für Softwarehersteller, nicht nur laufend aktiv nach Problemen zu suchen, sondern dann auch rasch auf Lücken zu reagieren. Genau dabei scheint nun aber eine der Größen der Branche gepatzt zu haben.

Fehlerhaft

Die Sicherheitsforscher der Firma Theori üben in einem neuen Blogeintrag Kritik an Apple. Obwohl eine schwere Sicherheitslücke seit rund drei Wochen öffentlich bekannt ist, hat das Unternehmen bisher noch keine Anstalten gemacht, diese auszubessern. Konkret geht es dabei um einen Fehler in der Rendering Engine Webkit, die sowohl bei iOS als auch Mac OS eine zentrale Rolle einnimmt und auch die Basis für Safari bildet. Der betreffende Bug kann genutzt werden, um den Browser über manipulierte Webseiten zum Absturz zu bringen und dabei Schadcode einzuschmuggeln und anschließend zur Ausführung zu bringen. Der Fehler sitzt in der Audio-Worklet-Komponente, die für die Audioverarbeitung im Hintergrund via Javascript genutzt werden kann.

Im Quellcode einsehbar

Was das Problem eben besonders unerfreulich macht, ist, dass die Lücke seit Wochen bekannt ist. Die Inaktivität von Apple könnte dabei auf eine Fehleinschätzung zurückzuführen sind. Entgegen der Meldung der Sicherheitsforscher ging das Unternehmen nämlich davon aus, dass der Bug nur für einen Absturz, aber nicht für das Einschmuggeln von Schadcode ausgenutzt werden könnte. Dies lässt sich zumindest aus der Commit-Nachricht im Quellcode von Webkit entnehmen.

Alles relativ

Betont sei, dass die Lücke zwar unerfreulich sein mag, allein reicht sie aber noch nicht, um ein iPhone oder einen Mac zu übernehmen. Dem stehen andere Sicherheitsmechanismen wie der Exploit-Schutz Pointer Authentication Codes (PAC) entgegen, die auch noch überwunden werden müssten. Das ist allerdings nicht ungewöhnlich, gerade Angriffe gegen Smartphones bestehen heutzutage zumeist aus einer ganzen Exploit-Kette – also der Aneinanderreihung mehrerer Angriffe. Der betreffende Bug wäre dann aber natürlich ein Glied in einer solchen Kette. (apo, 27.5.2021)