Eine WebKit-Lücke wird laut Apple aktiv ausgenutzt. macOS 13.2.1, iOS 16.3.1 und iPadOS 16.3.1 beheben sie. Für ältere Versionen gibt’s Safari-Updates.

Apple hat Montagabend Notfallpatches für mehrere seiner Betriebssystem vorgelegt und weitere Systeme aktualisiert. Der wichtigste Grund für eine schnelle Installation der Updates für Mac, iPhone und iPad ist eine schwerwiegende Lücke in Apples Browser-Engine WebKit. Verfügbar sind nun iOS und iPadOS 16.3.1, macOS 13.2.1, watchOS 9.3.1 sowie tvOS 16.3.2. Zudem gibt es neue Safari-Versionen für macOS 11 und 12 sowie ein Update für die Firmware des HomePod (16.3.2).

Die Sicherheitslücke hört auf die Bezeichnung CVE-ID 2023-23529 und wird laut Apple bereits aktiv ausgenutzt. Die Verarbeitung manipulierter Webinhalte kann “zur Ausführung von beliebigem Code” führen, warnt Apple – also sogar beim schlichten Aufruf einer Webpage. Der Bug ist eine sogenannte Type Confusion, was Apple mit verbesserten Überprüfungen zu verhindern sucht. Außerdem beheben iOS und iPadOS 16.3.1 sowie macOS 13.2.1 einen Kernelfehler, der die Ausführung beliebigen Codes mit Kernel-Privilegien erlaubt. Dabei handelt sich um einen Use-after-free-Bug.

macOS 13.2.1 bringt des Weiteren einen Fix für ein Problem mit der Kurzbefehle-App, bei der böswilliger Code “ungeschützte Nutzerdaten beobachten” konnte. Für macOS 11 (Big Sur) und 12 (Monterey) steht mit Safari 16.3.1 ein Fix für die aktiv ausgenutzte WebKit-Lücke bereit. Ein Testrechner zeigte das Update allerdings als Safari 16.3 an.