• IT-Karriere:
  • Services:

Betriebssysteme und iTunes: Apple schließt viele Sicherheitslücken

Mit der Veröffentlichung von iOS 12.2, Mojave 10.14.4 sowie der neuen iTunes-Version für Windows schließt Apple zahlreiche Sicherheitslücken. Einige davon sind kritisch, da sie Angriffe mit Kernelprivilegien oder hohen Rechten ermöglichen.

Artikel veröffentlicht am ,
Apple muss zahlreiche Bugs beseitigen. (Symbolbild)
Apple muss zahlreiche Bugs beseitigen. (Symbolbild) (Bild: Lillian Suwanrumpha/AFP und Getty Images)

Apple hat in zahlreichen Softwareprodukten Sicherheitslücken geschlossen, wie aus der Security-Übersicht HT201222 hervorgeht. Mit Sicherheitsupdates ausgestattet wurden laut der Liste die Betriebssysteme iOS 12.2, Mojave 14.4 sowie TVOS 12.2. Betroffen sind aber auch Werkzeuge wie Xcode, iTunes für Windows, iCloud für Windows sowie Safari für MacOS.

Stellenmarkt
  1. medneo GmbH, Berlin
  2. Stadt Tuttlingen, Tuttlingen

Sowohl in MacOS, über das Betriebssystem, als auch in Windows, über iTunes, wurden dabei recht gefährliche Schwachstellen beseitigt. Ein Fehler in AppleGraphicsControl ermöglicht es etwa Angreifern, Schadcode mit den Rechten des Kernels auszuführen. Dafür muss dem Nutzer aber ein Programm irgendwie untergeschoben werden. Betroffen sind hier Mojave, High Sierra und Sierra.

Die Windows-iTunes-Sicherheitslücke ist ähnlich kritisch in der Auswirkung. Mit einer Schadanwendung soll es möglich sein, die Komponente Corecrypto so weit auszutricksen, dass der Angreifer danach mit erhöhten Rechten arbeiten kann. Diese Lücke findet sich auch in der iCloud-Software für Windows.

Das Erschleichen höherer Rechte oder das Ausführen von Schadcode ist auch auf ungepatchten iOS- und TVOS-Versionen möglich. In einem Fall ist es sogar möglich, Root-Rechte zu bekommen. Das funktioniert aber laut den Dokumenten nur auf einem ungepatchten iOS-Gerät. TVOS unterscheidet sich hier anscheinend von dem Betriebssystem für iPhone, iPad und iPod Touch.

Separat aufgelistet werden Sicherheitslücken im Browser Safari. Das Ausführen von Schadcode ist prinzipiell möglich. Erfolgreiche Angreifer können aber auch in den Prozessspeicher schauen, so dass Nutzerinformationen ungewollt zugänglich werden.

Die Entwicklungsumgebung Xcode beinhaltet einen Fehler, der es Angreifern erlaubt, sowohl Schadcode auszuführen als auch höhere Rechte zu erschleichen.

Wie üblich können die meisten Updates über die integrierten Aktualisierungsmechanismen eingespielt werden. In einigen Fällen stehen diese auch im dedizierten Downloadbereich zur Verfügung. Zum Zeitpunkt der Veröffentlichung dieser Nachricht fehlten aber noch neue Einträge.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-40%) 32,99€
  2. 4,32€
  3. (-75%) 4,99€

whitbread 26. Mär 2019

Ja - ich habe auch sofort an Apple und ein ios-Update gedacht. ;-(


Folgen Sie uns
       


Parksensor von Bosch ausprobiert

Wenn es darum geht, Autofahrer auf freie Parkplätze zu lotsen, lassen sich die Bosch-Sensoren sinnvoll einsetzen.

Parksensor von Bosch ausprobiert Video aufrufen
Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

Concept One ausprobiert: Oneplus lässt die Kameras verschwinden
Concept One ausprobiert
Oneplus lässt die Kameras verschwinden

CES 2020 Oneplus hat sein erstes Konzept-Smartphone vorgestellt. Dessen einziger Zweck es ist, die neue ausblendbare Kamera zu zeigen.
Von Tobias Költzsch

  1. Bluetooth LE Audio Neuer Standard spielt parallel auf mehreren Geräten
  2. Streaming Amazon bringt Fire TV ins Auto
  3. Thinkpad X1 Fold im Hands-off Ein Blick auf Lenovos pfiffiges Falt-Tablet

    •  /