Betriebssysteme und iTunes: Apple schließt viele Sicherheitslücken

Mit der Veröffentlichung von iOS 12.2, Mojave 10.14.4 sowie der neuen iTunes-Version für Windows schließt Apple zahlreiche Sicherheitslücken. Einige davon sind kritisch, da sie Angriffe mit Kernelprivilegien oder hohen Rechten ermöglichen.

Artikel veröffentlicht am ,
Apple muss zahlreiche Bugs beseitigen. (Symbolbild)
Apple muss zahlreiche Bugs beseitigen. (Symbolbild) (Bild: Lillian Suwanrumpha/AFP und Getty Images)

Apple hat in zahlreichen Softwareprodukten Sicherheitslücken geschlossen, wie aus der Security-Übersicht HT201222 hervorgeht. Mit Sicherheitsupdates ausgestattet wurden laut der Liste die Betriebssysteme iOS 12.2, Mojave 14.4 sowie TVOS 12.2. Betroffen sind aber auch Werkzeuge wie Xcode, iTunes für Windows, iCloud für Windows sowie Safari für MacOS.

Stellenmarkt
  1. IT-Infrastruktur-Systembetre- uer (m/w/d)
    Psychiatrisches Zentrum Nordbaden, Wiesloch
  2. Crisis and Business Continuity Management Expert (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr
Detailsuche

Sowohl in MacOS, über das Betriebssystem, als auch in Windows, über iTunes, wurden dabei recht gefährliche Schwachstellen beseitigt. Ein Fehler in AppleGraphicsControl ermöglicht es etwa Angreifern, Schadcode mit den Rechten des Kernels auszuführen. Dafür muss dem Nutzer aber ein Programm irgendwie untergeschoben werden. Betroffen sind hier Mojave, High Sierra und Sierra.

Die Windows-iTunes-Sicherheitslücke ist ähnlich kritisch in der Auswirkung. Mit einer Schadanwendung soll es möglich sein, die Komponente Corecrypto so weit auszutricksen, dass der Angreifer danach mit erhöhten Rechten arbeiten kann. Diese Lücke findet sich auch in der iCloud-Software für Windows.

Das Erschleichen höherer Rechte oder das Ausführen von Schadcode ist auch auf ungepatchten iOS- und TVOS-Versionen möglich. In einem Fall ist es sogar möglich, Root-Rechte zu bekommen. Das funktioniert aber laut den Dokumenten nur auf einem ungepatchten iOS-Gerät. TVOS unterscheidet sich hier anscheinend von dem Betriebssystem für iPhone, iPad und iPod Touch.

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
  2. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
Weitere IT-Trainings

Separat aufgelistet werden Sicherheitslücken im Browser Safari. Das Ausführen von Schadcode ist prinzipiell möglich. Erfolgreiche Angreifer können aber auch in den Prozessspeicher schauen, so dass Nutzerinformationen ungewollt zugänglich werden.

Die Entwicklungsumgebung Xcode beinhaltet einen Fehler, der es Angreifern erlaubt, sowohl Schadcode auszuführen als auch höhere Rechte zu erschleichen.

Wie üblich können die meisten Updates über die integrierten Aktualisierungsmechanismen eingespielt werden. In einigen Fällen stehen diese auch im dedizierten Downloadbereich zur Verfügung. Zum Zeitpunkt der Veröffentlichung dieser Nachricht fehlten aber noch neue Einträge.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mica statt Aero
Windows 11 bringt Transparenzeffekte zurück

Weitere Applikationen werden mit einem bekannten Designelement ausgestattet: Windows 11 implementiert Transparenzeffekte mit Mica.

Mica statt Aero: Windows 11 bringt Transparenzeffekte zurück
Artikel
  1. Air4: Renault 4 als Flugauto neu interpretiert
    Air4
    Renault 4 als Flugauto neu interpretiert

    Der Air4 ist Renaults Idee, wie ein fliegender Renault 4 aussehen könnte. Mit der Drohne wird das 60jährige Jubiläum des Kultautos gefeiert.

  2. Gigafactory Berlin: Tesla verzichtet für Akkufertigung auf staatliche Förderung
    Gigafactory Berlin
    Tesla verzichtet für Akkufertigung auf staatliche Förderung

    Tesla verzichtet für die geplante Akkufertigung in Grünheide bei Berlin auf eine mögliche staatliche Förderung in Milliardenhöhe.

  3. MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
    MS Satoshi
    Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

    Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /