Categories: MacWorkspace

Sicherheitsforscher macht Zero-Day-Lücke in macOS 10.14 Mojave öffentlich

In der jüngsten Version von Apples Betriebssystem steckt eine schwerwiegende Sicherheitslücke. Sie erlaubt es, Datenschutzfunktionen von macOS 10.14 Mojave auszuhebeln. Einem auf Vimeo veröffentlichten Video zufolge können beliebige Apps beispielsweise vertrauliche Daten wie das Adressbuch auslesen.

Entdeckt wurde die Schwachstelle von Patrick Wardle, Chief Research Officer bei Digita Security, der zuletzt im August eine Zero-Day-Lücke in macOS öffentlich gemacht hatte. „Mojaves Dunkelmodus ist wunderbar … aber der versprochene bessere Datenschutz? Irgendwie Fake News“, twitterte Wardle am Montag zusammen mit einem Link zu besagtem Video.

Darin zeigt Wardle, wie eine App die Datenschutzeinstellungen umgehen und sich den Zugriff auf das Adressbuch sichern kann. Die Daten legt Wardle anschließend auf dem Desktop ab. Ein Hacker mit lokalem oder entferntem Zugang zu einem Mac mit macOS 10.14 Mojave könnte die Daten allerdings auch entwenden.

Gegenüber Bleeping Computer erklärte Wardle, auch eine App ohne jegliche Berechtigungen sei in der Lage, die Zero-Day-Lücke auszunutzen. Der Fehler, der auf der Implementierung der Schutzfunktionen basieren soll, sei trivial, aber zu 100 Prozent zuverlässig ausnutzbar. Es seien aber nicht alle neuen Datenschutzfunktionen unbrauchbar.

Die technischen Details des Bugs sowie Beispielcode hält der Sicherheitsforscher noch zurück. Er will Apple die Gelegenheit geben, einen Patch zu entwickeln und an seine Nutzer zu verteilen. Wardle plant jedoch, die Sicherheitslücke im November auf der Sicherheitskonferenz Objective by the Sea vorzuführen.

macOS 10.14 Mojave verteilt Apple seit Montag über den Mac App Store. Das Update nicht nur zahlreiche neue Funktionen, sondern auch Sicherheitspatches für acht Anfälligkeiten. Die Fehler stecken unter anderem im App Store, Kernel, der Firewall und den Komponenten Bluetooth, Crash Reporter und Security. Die Fixes sollen verhindern, dass Angreifer aus der Ferne Schadcode mit Kernel-Rechten ausführen, die Sandbox der Firewall durchbrechen oder die AppleID eines lokalen Nutzers kompromittieren.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago