• IT-Karriere:
  • Services:

Apple: Erster Sicherheitspatch für MacOS High Sierra 10.13.4 kommt

Ein fehlerhafte Speicheradressierung konnte unter MacOS High Sierra zu erweiterten Nutzerrechten von Anwendungen führen. Apple behebt dieses und ein anderes Problem mit dem ersten Patch der neuen Betriebssystemversion 10.13.4. Gleichzeitig wird der Safari-Browser mit einem Update versehen.

Artikel veröffentlicht am ,
Apples Betriebssystem wird mit einem wichtigen Sicherheitspatch versorgt.
Apples Betriebssystem wird mit einem wichtigen Sicherheitspatch versorgt. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Einen Monat nach der Veröffentlichung der neuen Version 10.13.4 bekommt MacOS High Sierra ein erstes Sicherheitsupdate. Der Patch soll zwei kritische Sicherheitslücken adressieren, die durch korrumpierte Speicheradressierung und eine fehlerhafte Eingabevalidierung bei URLs hervorgerufen werden. Zum gleichen Zeitpunkt erhält der Safari-Browser 11.1 ebenfalls ein Update, um Fehler in Verbindung mit der HTML-Layout-Engine Webex zu beheben.

Stellenmarkt
  1. EGT Energievertrieb GmbH, Triberg
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Das MacOS-Update adressiert ein Problem, das unter CVE-2018-4206 bekannt ist. Apple beschreibt, dass durch korrumpierte Speicheradressierung eine Anwendung erweiterte Zuriffsrechte erhalten kann. Der Patch führt eine verbesserte Fehlerbehandlung ein, um dieses Vorgehen zu verhindern. Entdeckt wurde das Problem vom Entwickler Ian Beer, der für Googles Security-Team Project Zero arbeitet.

Das zweite Problem führt Apple unter CVE-2018-4187. Darüber konnten Angreifer UI Spoofing - also das Vorgaukeln angezeigter Informationen - vornehmen, indem eine bösartige Textdatei vom System eingelesen und verarbeitet wird. Diese werden anscheinend über URLs an Nutzer verteilt, denn Apple adressiert das Problem mit einer angepassten Eingabevalidierung von URLs. Tencent-Mitarbeiter Zhiyang Zeng hat die Lücke entdeckt.

Speicherfehler auch bei Webkit in Verbindung mit Safari 11.1

Das Update für Safari 11.1, das unter High Sierra 13605.1.33.1.4 heißt, behebt ebenfalls eine korrumpierte Speicheradressierung der Software. CVE-2018-4200 wurde von Project-Zero-Entwickler Ivan Fratric entdeckt und ermöglicht die ungewollte Ausführung von Code auf dem Rechner, wenn sich Nutzer auf böswillig entwickelten Webseiten aufhalten. Safari wird in Zukunft eine verbesserte Statusverwaltung des Speichers haben, um diesen Fehler zu beheben.

Einen ähnlichen Bug beschreibt Apple mit CVE-2018-2404, entdeckt von Trend-Micro-Entwickler Richard Zou. Damit konnte ebenfalls ungewollt Code ausgeführt werden. Eine verbesserte Speicherverwaltung soll diese Lücke beheben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-58%) 16,99€
  2. 11,99€
  3. (-80%) 9,99€

Folgen Sie uns
       


SSD-Kompendium

Sie werden alle SSDs genannt und doch gibt es gravierende Unterschiede. Golem.de-Hardware-Redakteur Marc Sauter stellt die unterschiedlichen Formfaktoren vor, spricht über Protokolle, die Geschwindigkeit und den Preis.

SSD-Kompendium Video aufrufen
In eigener Sache: Golem.de sucht Produktmanager/Affiliate (m/w/d)
In eigener Sache
Golem.de sucht Produktmanager/Affiliate (m/w/d)

Attraktive Vergünstigungen für Abonnenten, spannende Deals für unsere IT-Profis, nerdiger Merchandise für Fans oder innovative Verkaufslösungen: Du willst maßgeschneiderte E-Commerce-Angebote für Golem.de entwickeln und umsetzen und dabei eigenverantwortlich und in unserem sympathischen Team arbeiten? Dann bewirb dich bei uns!

  1. In eigener Sache Aktiv werden für Golem.de
  2. Golem Akademie Von wegen rechtsfreier Raum!
  3. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen

VW-Logistikplattform Rio: Mehr Fracht transportieren mit weniger Lkw
VW-Logistikplattform Rio
Mehr Fracht transportieren mit weniger Lkw

Im Online-Handel ist das Tracking einer Bestellung längst Realität. In der Speditionsbranche sieht es oft anders aus: Silo-Denken, viele Kleinunternehmen und Vorbehalte gegenüber der Digitalisierung bremsen den Fortschritt. Das möchte Rio mit seiner Cloud-Lösung und niedrigen Preisen ändern.
Ein Bericht von Dirk Kunde

  1. Vernetzte Mobilität Verkehrsunternehmen könnten Datenaustauschpflicht bekommen
  2. Studie Uber und Lyft verschlechtern den Stadtverkehr
  3. Diesel-Ersatz Baden-Württemberg beschafft Akku-Elektrotriebzüge Mireo

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. San José Bosch und Daimler starten autonomen Taxidienst
  2. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  3. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte

    •  /