Apple hat am Donnerstag Sicherheitsupdates für iOS, iPadOS, macOS und Safari veröffentlicht, um eine neue WebKit-Schwachstelle zu beheben, die laut Apple aktiv ausgenutzt werden kann.
Die Schwachstelle mit der Bezeichnung CVE-2022-22620 betrifft eine Use-after-free-Schwachstelle in der WebKit-Komponente des Safari-Webbrowsers, die durch speziell gestaltete Webinhalte ausgenutzt werden kann, um beliebigen Code auszuführen.
„Apple hat Kenntnis von einem Bericht, wonach diese Schwachstelle aktiv ausgenutzt worden sein könnte“, so das Unternehmen in einer knappen Erklärung, in der es einräumt, dass Angriffe in freier Wildbahn die Schwachstelle ausnutzen.
Der iPhone-Hersteller bedankte sich bei einem anonymen Forscher für die Entdeckung und Meldung der Schwachstelle und fügte hinzu, dass er das Problem durch eine verbesserte Speicherverwaltung behoben hat.
Die Updates sind für das iPhone 6s und höher, das iPad Pro (alle Modelle), das iPad Air 2 und höher, das iPad der 5. Generation und höher, das iPad mini 4 und höher, den iPod touch (7. Generation), macOS-Geräte mit Big Sur und macOS Catalina sowie als eigenständiges Update für Safari verfügbar.
Mit der neuesten Korrektur erhöht sich die Zahl der von Apple für 2022 veröffentlichten Zero-Day-Patches auf drei, darunter CVE-2022-22587 und CVE-2022-22594, die ausgenutzt werden können, um beliebigen Code auszuführen und die Online-Aktivitäten der Nutzer/innen im Webbrowser zu verfolgen.