Das Unternehmen bestätigte am Montag, dass seine Geräte von einem Fehler betroffen sind, der die Remote-Ausführung von bösartigem Code über webbasiertes JavaScript ermöglicht. Diese Schwachstelle öffnet einen Angriffsvektor, der zum Diebstahl kryptorelevanter Daten von ahnungslosen Benutzern führen könnte.
Laut Apples letzter Sicherheitsmeldung müssen Benutzer ihre JavaScriptCore- und WebKit-Software auf die neuesten Versionen aktualisieren, um das Problem zu beheben. Entdeckt von Forschern der Threat Analysis Group von Google ermöglicht die Schwachstelle „die Verarbeitung bösartig gestalteter Webinhalte“, was zu „Cross-Site-Scripting-Angriffen“ führt. Alarmierend gab Apple auch zu, dass das Problem „möglicherweise aktiv auf Intel-basierten Mac-Systemen ausgenutzt wurde.“
Apple gab eine ähnliche Sicherheitsmeldung für iPhone- und iPad-Nutzer heraus und erklärte, dass der JavaScriptCore-Fehler die „Verarbeitung bösartig gestalteter Webinhalte ermöglicht, die zu beliebiger Ausführung von Code führen kann.“ Mit anderen Worten, Hacker könnten potenziell die Kontrolle über die iPhones oder iPads der Benutzer übernehmen, wenn sie bösartige Seiten besuchen. Apple versicherte den Benutzern, dass Updates das Problem lösen sollten.
Jeremiah O’Connor, CTO und Mitgründer der Krypto-Cybersicherheitsfirma Trugard, warnte, dass „Angreifer Zugriff auf sensible Daten wie private Schlüssel oder Passwörter, die in Browsern gespeichert sind, erlangen könnten“, was potenziell Krypto-Vermögenswerte stehlen könnte, wenn die Geräte der Benutzer nicht gepatcht bleiben.
Anfang März tauchten Berichte auf, dass Sicherheitsforscher Schwachstellen in Apples Chips der vorherigen Generation (M1, M2 und M3-Serie) gefunden hatten. Diese Fehler könnten es Hackern ermöglichen, kryptografische Schlüssel zu extrahieren.
Die Schwachstelle nutzt eine Technik namens „Prefetching“ aus, ein Feature in Apples M-Serie-Chips, das darauf ausgelegt ist, die Interaktion mit den Geräten des Unternehmens zu beschleunigen. Prefetching kann sensible Daten im Cache des Prozessors speichern und es Angreifern ermöglichen, diese Informationen abzurufen, um kryptografische Schlüssel zu rekonstruieren, die unzugänglich bleiben sollten.
Leider stellt dies laut Ars Technica ein erhebliches Problem für Apple-Nutzer dar, da Chip-Level-Schwachstellen nicht durch Software-Updates behoben werden können.