Categories: MacWorkspace

Sicherheitsforscher macht Zero-Day-Lücke in macOS 10.14 Mojave öffentlich

In der jüngsten Version von Apples Betriebssystem steckt eine schwerwiegende Sicherheitslücke. Sie erlaubt es, Datenschutzfunktionen von macOS 10.14 Mojave auszuhebeln. Einem auf Vimeo veröffentlichten Video zufolge können beliebige Apps beispielsweise vertrauliche Daten wie das Adressbuch auslesen.

Entdeckt wurde die Schwachstelle von Patrick Wardle, Chief Research Officer bei Digita Security, der zuletzt im August eine Zero-Day-Lücke in macOS öffentlich gemacht hatte. „Mojaves Dunkelmodus ist wunderbar … aber der versprochene bessere Datenschutz? Irgendwie Fake News“, twitterte Wardle am Montag zusammen mit einem Link zu besagtem Video.

Darin zeigt Wardle, wie eine App die Datenschutzeinstellungen umgehen und sich den Zugriff auf das Adressbuch sichern kann. Die Daten legt Wardle anschließend auf dem Desktop ab. Ein Hacker mit lokalem oder entferntem Zugang zu einem Mac mit macOS 10.14 Mojave könnte die Daten allerdings auch entwenden.

Gegenüber Bleeping Computer erklärte Wardle, auch eine App ohne jegliche Berechtigungen sei in der Lage, die Zero-Day-Lücke auszunutzen. Der Fehler, der auf der Implementierung der Schutzfunktionen basieren soll, sei trivial, aber zu 100 Prozent zuverlässig ausnutzbar. Es seien aber nicht alle neuen Datenschutzfunktionen unbrauchbar.

Die technischen Details des Bugs sowie Beispielcode hält der Sicherheitsforscher noch zurück. Er will Apple die Gelegenheit geben, einen Patch zu entwickeln und an seine Nutzer zu verteilen. Wardle plant jedoch, die Sicherheitslücke im November auf der Sicherheitskonferenz Objective by the Sea vorzuführen.

macOS 10.14 Mojave verteilt Apple seit Montag über den Mac App Store. Das Update nicht nur zahlreiche neue Funktionen, sondern auch Sicherheitspatches für acht Anfälligkeiten. Die Fehler stecken unter anderem im App Store, Kernel, der Firewall und den Komponenten Bluetooth, Crash Reporter und Security. Die Fixes sollen verhindern, dass Angreifer aus der Ferne Schadcode mit Kernel-Rechten ausführen, die Sandbox der Firewall durchbrechen oder die AppleID eines lokalen Nutzers kompromittieren.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Stunde ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

2 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

2 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

4 Stunden ago

Internet-Tempo in Deutschland: Viel Luft nach oben

Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.

5 Stunden ago