Apple: Erster Sicherheitspatch für MacOS High Sierra 10.13.4 kommt

Ein fehlerhafte Speicheradressierung konnte unter MacOS High Sierra zu erweiterten Nutzerrechten von Anwendungen führen. Apple behebt dieses und ein anderes Problem mit dem ersten Patch der neuen Betriebssystemversion 10.13.4. Gleichzeitig wird der Safari-Browser mit einem Update versehen.

Artikel veröffentlicht am ,
Apples Betriebssystem wird mit einem wichtigen Sicherheitspatch versorgt.
Apples Betriebssystem wird mit einem wichtigen Sicherheitspatch versorgt. (Bild: Pixabay.com/Montage: Golem.de/CC0 1.0)

Einen Monat nach der Veröffentlichung der neuen Version 10.13.4 bekommt MacOS High Sierra ein erstes Sicherheitsupdate. Der Patch soll zwei kritische Sicherheitslücken adressieren, die durch korrumpierte Speicheradressierung und eine fehlerhafte Eingabevalidierung bei URLs hervorgerufen werden. Zum gleichen Zeitpunkt erhält der Safari-Browser 11.1 ebenfalls ein Update, um Fehler in Verbindung mit der HTML-Layout-Engine Webex zu beheben.

Stellenmarkt
  1. IT Solution Engineer SAP HCM Payroll (m/w/d)
    Schaeffler Technologies AG & Co. KG, Nürnberg
  2. SAP Modul Berater und Berechtigungsexperte (m/w/d)
    PFW - Aerospace GmbH, Speyer
Detailsuche

Das MacOS-Update adressiert ein Problem, das unter CVE-2018-4206 bekannt ist. Apple beschreibt, dass durch korrumpierte Speicheradressierung eine Anwendung erweiterte Zuriffsrechte erhalten kann. Der Patch führt eine verbesserte Fehlerbehandlung ein, um dieses Vorgehen zu verhindern. Entdeckt wurde das Problem vom Entwickler Ian Beer, der für Googles Security-Team Project Zero arbeitet.

Das zweite Problem führt Apple unter CVE-2018-4187. Darüber konnten Angreifer UI Spoofing - also das Vorgaukeln angezeigter Informationen - vornehmen, indem eine bösartige Textdatei vom System eingelesen und verarbeitet wird. Diese werden anscheinend über URLs an Nutzer verteilt, denn Apple adressiert das Problem mit einer angepassten Eingabevalidierung von URLs. Tencent-Mitarbeiter Zhiyang Zeng hat die Lücke entdeckt.

Speicherfehler auch bei Webkit in Verbindung mit Safari 11.1

Das Update für Safari 11.1, das unter High Sierra 13605.1.33.1.4 heißt, behebt ebenfalls eine korrumpierte Speicheradressierung der Software. CVE-2018-4200 wurde von Project-Zero-Entwickler Ivan Fratric entdeckt und ermöglicht die ungewollte Ausführung von Code auf dem Rechner, wenn sich Nutzer auf böswillig entwickelten Webseiten aufhalten. Safari wird in Zukunft eine verbesserte Statusverwaltung des Speichers haben, um diesen Fehler zu beheben.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Einen ähnlichen Bug beschreibt Apple mit CVE-2018-2404, entdeckt von Trend-Micro-Entwickler Richard Zou. Damit konnte ebenfalls ungewollt Code ausgeführt werden. Eine verbesserte Speicherverwaltung soll diese Lücke beheben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Probefahrt mit EQS
Mercedes schüttelt Tesla ab, aber nicht die Klimakrise

Der neue EQS von Mercedes-Benz widerlegt die Argumente vieler Elektroauto-Gegner. Auch die Komforttüren gefallen uns.
Ein Bericht von Friedhelm Greis

Probefahrt mit EQS: Mercedes schüttelt Tesla ab, aber nicht die Klimakrise
Artikel
  1. E-Scooter: Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt
    E-Scooter
    Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt

    Mit einer Tages- oder Monatskarte des E-Scooter-Anbieters Voi sollen Nutzer so viel fahren können, wie sie wollen - können sie aber nicht.

  2. Vidme: Webseiten blenden ungewollt Pornos ein
    Vidme
    Webseiten blenden ungewollt Pornos ein

    Eine Pornowebseite hat die verwaiste Domain eines Videohosters gekauft. Auf bekannten Nachrichtenseiten wurden daraufhin Hardcore-Pornos angezeigt.

  3. Datenbank: Facebook braucht schon Jahre für MySQL-Update
    Datenbank
    Facebook braucht schon Jahre für MySQL-Update

    Das Update von MySQL 5.6 auf das aktuelle 8.0 laufe bei Facebook wegen vieler Probleme schon seit "einigen Jahren" und ist noch nicht fertig.


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • Asus TUF Gaming 27" FHD 280Hz 306,22€ • Samsung 970 Evo Plus 1TB 136,99€ • Gratis-Spiele im Epic Games Store • Alternate (u. a. be quiet Pure Wings 2 Gehäuselüfter 7,49€) • Philips 75" + Philips On-Ear-Kopfhörer 899€ • -15% auf TVs bei Ebay [Werbung]
    •  /