Forscher der US-Universität Georgia Tech haben zwei Sicherheitslücken in neueren Apple-Prozessoren entdeckt. Sie ermöglichen Angreifern über manipulierte Web-Seiten das Auslesen von sensiblen Browser-Daten in Safari oder Chrome. Apple arbeitet bereits an der Behebung der Schwachstellen und sieht aktuell keine unmittelbare Gefahr für Anwender.
Die Sicherheitslücken wurden auf die Namen "SLAP" und "FLOP" getauft. Es sind bislang keine Fälle bekannt, wonach diese Schwachstellen aktiv ausgenutzt worden sein könnten. Betroffen sind Geräte ab Baujahr 2021 mit den Prozessoren A15 oder neuer bzw. M2 oder neuer. Die Forscher teilten mit:
"Es gibt Hardware- und Software-Maßnahmen, die sicherstellen, dass zwei geöffnete Webseiten voneinander isoliert sind und verhindern, dass eine der beiden Seiten den Inhalt der anderen (böswillig) lesen kann. SLAP und FLOP heben diese Schutzmaßnahmen auf und ermöglichen es Angreifern, sensible, anmeldungsgeschützte Daten von Zielwebseiten zu lesen. In unserer Arbeit zeigen wir, dass diese Daten vom Standortverlauf bis hin zu Kreditkarteninformationen reichen.
Apple hat uns mitgeteilt, dass diese Probleme in einem kommenden Sicherheitsupdate behoben werden sollen. Daher ist es wichtig, dass Sie automatische Updates aktivieren und sicherstellen, dass auf Ihren Geräten das neueste Betriebssystem und die neuesten Anwendungen installiert sind."
Bild: Apple.
Von Apple gibt es die folgende Stellungnahme: "Wir möchten den Forschern für ihre Zusammenarbeit danken, da dieser Konzeptnachweis unser Verständnis für diese Art von Bedrohungen verbessert. Auf der Grundlage unserer Analyse glauben wir nicht, dass dieses Problem ein unmittelbares Risiko für unsere Nutzer darstellt."
Wann der Mac- und iPhone-Hersteller die Schwachstellen beheben wird (bzw. softwareseitig Mechanismen implementiert, die deren Ausnutzung verhindern), ist unklar. Denkbar sind Korrekturen mit außerplanmäßigen Aktualisierungen (macOS 15.3.1 und iOS/iPadOS 18.3.1) bereits in den kommenden Wochen oder im Rahmen der nächsten regulären Betriebssystemupdates (macOS 15.4 und iOS/iPadOS 18.4) im März oder April.
Ob auch andere Web-Browser wie Firefox betroffen sind, wurde laut den Forschern noch nicht getestet. Vergleichbare Schwachstellen gab es in der Vergangenheit bereits öfters. Allerdings muss sich Apple fragen lassen, weshalb die Behebung so lange dauert: Die Forscher haben das Unternehmen nach eigenen Angaben bereits im April 2024 ("SLAP") bzw. September 2024 ("FLOP") informiert. Durch die Veröffentlichung steigt jetzt jedenfalls der Druck auf Apple, die Schwachstellen zeitnah zu beseitigen.