close notice<\/p>\n
\n This article is also available in It was translated with technical assistance and editorially reviewed before publication.\n <\/p>\n \n Don\u2019t show this again.\n<\/p>\n Apples in der Nacht zum Mittwoch erschienene Updates f\u00fcr iOS, iPadOS und macOS<\/a> sollten dringend schnell eingespielt werden: Wie nun erst bekannt wurde, wird damit auch ein WebKit-Bug gefixt, f\u00fcr den es bereits einen Exploit gibt. Dieser wird allerdings bislang nur verwendet, um Chrome-Nutzer anzugreifen<\/a>, wie es in der zugeh\u00f6rigen NIST-Meldung hei\u00dft (CVE-2025-6558). Der Fehler wird mit „Severity: High“ bewertet. Verwirrend: Apple warnt in seinen Sicherheitsunterlagen<\/a> nicht vor bekannten aktiven Angriffen \u2013 offenbar, weil es f\u00fcr den Apple-Browser Safari noch keine entsprechenden Berichte gibt.<\/p>\n Crasht Safari nur?<\/p>\n Laut Google, dessen eigene Threat Analysis Group (TAG) den Fehler entdeckt hat, hat man in Chrome Versionen vor 138.0.7204.157 beobachtet, wie es einem entfernten Angreifer \u00fcber eine manipulierte Website gelang, einen Sandbox-Ausbruch durchzuf\u00fchren, der dann zu weiteren Problemen f\u00fchrt. Grund ist die Verarbeitung nicht verifizierter Inputs in den Modulen GPU und ANGLE.<\/p>\n Apple selbst schreibt nur, dass CVE-2025-6558 zu einem „unerwarteten Absturz“ in Safari f\u00fchren k\u00f6nne, von einem Sandbox-Ausbruch ist dort nicht die Rede. Es k\u00f6nnte also sein, dass der Schweregrad auf Apple-Plattformen geringer ist \u2013 eine Best\u00e4tigung dazu gibt es bislang aber nicht. Apple schreibt weiter, es handele sich um eine L\u00fccke „im Open-Source-Code“ und Apples eigene Software sei „unter den betroffenen Produkten“.<\/p>\n Update f\u00fcr \u00e4ltere macOS-Versionen<\/p>\n Der WebKit-Bug wird \u2013 zusammen mit zahlreichen weiteren Fehlern<\/a> \u2013 sowohl in iOS 18.6 als auch in iPadOS 18.6 und macOS 15.6 behoben. Weiterhin erschien um einen Tag verz\u00f6gert auch ein Update f\u00fcr macOS 13 (Ventura) und 14 (Sonoma): Safari 18.4 als Einzeldownload<\/a>. Warum Apple den Browser f\u00fcr die \u00e4lteren Systeme hier zun\u00e4chst verz\u00f6gert hatte, ist bislang unklar. Den Fix enth\u00e4lt weiterhin auch iPadOS 17.7.9<\/a>, das Apple parallel zu iOS 18.6 und Co. ver\u00f6ffentlicht hatte. iOS 17 wird vom Hersteller hingegen nicht weiter gepflegt.<\/p>\n Der Vorgang zeigt, dass man bei Sicherheitsupdates genau hinschauen muss. Googles TAG hat bislang noch nicht verraten, wer die Angreifer waren und wie verbreitet der Exploit auf Chrome ist. Wer den Browser (oder darauf aufbauende mit Chromium) nutzt, sollte auch diesen dringend aktualisieren \u2013 gegen den Exploit hilft die Installation einer aktuellen Safari- oder macOS-Version n\u00e4mlich nicht.<\/p>\n
\n English<\/a>.<\/p>\n