MSI Assassins Bundle

macOS 10.13.2 (High Sierra) und weitere Sicherheits-Updates

reported by doelf, Donnerstag der 07.12.2017, 17:58:49 Uhr

Apple hat das aktuelle macOS High Sierra auf die Version 10.13.2 aktualisiert und verspricht eine bessere Kompatibilität zu USB-Audio-Geräten von Drittanbietern. Mail soll Braille-Displays (auch bekannt als Braillezeile, ein Ausgabegerät für blinde Menschen) besser unterstützen und bei der Vorschau von PDF-Dokumenten wurde die VoiceOver-Navigation verbessert. Darüber hinaus wurden 22 Sicherheitslücken geschlossen, von denen einige auch ältere Versionen des Betriebssystems betreffen - für macOS Sierra gibt es daher das Sicherheits-Update 2017-002 und für macOS El Capitan das Sicherheits-Update 2017-005.

Sicherheitslücken in macOS High Sierra, Sierra und El Capitan
Alle drei Varianten von macOS erhalten Apache 2.4.28, denn die bisherige Version lässt sich über manipulierte Konfigurationsdateien zu Einblicken in den Prozessspeicher verleiten (CVE-2017-9798). Auch der FTP-Client Curl musste überarbeitet werden, da ihn bösartige FTP-Server Speicherbereiche lesen lassen, in denen er nichts zu suchen hat (CVE-2017-1000254). Aufgrund von Speicherfehlern kann man IOAcceleratorFamily (CVE-2017-13844) und IOKit (CVE-2017-13847) beliebigen Code unterschieben, der dann mit Kernel-Rechten ausführt wird. Fünf Schwachstellen stecken im Kernel der drei Betriebssysteme: Aufgrund eines unkontrollierten Lesezugriffs (CVE-2017-13833), einer Typen-Verwechslung (CVE-2017-13855) und einer unzureichenden Eingabeprüfung (CVE-2017-13868) können Applikationen geschützte Speicherbereiche lesen, während zwei Speicherfehler (CVE-2017-13862, CVE-2017-13867) Programmen das Ausführen beliebigen Codes mit Kernel-Rechten ermöglichen. Ein Fehler beim Parsen von X.509 IPAddressFamily in OpenSSL gibt Zugriff auf geschützte Speicherbereiche (CVE-2017-3735) und ein Benutzer mit Zugriff auf die Bildschirmfreigabe kann auf alle Dateien zugreifen, die der Root-Nutzer lesen darf (CVE-2017-13826, nur High Sierra und Sierra).

Weitere Sicherheitslücken in macOS High Sierra
Die unfreiwillige Root-Anmeldung ohne Passwort (CVE-2017-13872) ist indes einer der Fehler, die nur High Sierra betreffen. Intels Grafiktreiber musste für das Zusammenspiel mit High Sierra gleich an drei Stellen geflickt werden: Ein Speicherfehler ermöglicht das Ausführen beliebigen Codes mit Kernel-Rechten (CVE-2017-13883), ein ausufernder Lesezugriff macht das Gleiche mit System-Rechten (CVE-2017-13875) und ein lokal angemeldeter Nutzer kann Kernel-Speicher lesen oder einen Absturz herbeiführen (CVE-2017-13878). Aufgrund einer unzureichenden Prüfung von Eingaben führt auch IOKit beliebigen Code mit Kernel-Rechten aus (CVE-2017-13848, CVE-2017-13858). Zwei weitere Kernel-Fehler betreffen ausschließlich High Sierra. Es handelt sich um einen Speicherfehler, welcher Programme beliebigen Code mit Kernel-Rechten ausführen lässt, und eine unzureichende Eingabeprüfung, über die sich Applikationen einen Lesezugriff auf geschützte Speicherbereiche verschaffen können. Mail hat S/MIME-verschlüsselte Mails bisher unverschlüsselt verschickt, wenn für den Empfänger kein S/MIME-Zertifikat installiert war (CVE-2017-13871). Dieses Problem betrifft übrigens auch Mail Drafts (CVE-2017-13860), so dass ein Angreifer in einer privilegierten Netzwerkposition die ungeschützten Mails mitlesen kann.

Download:

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]