Entdeckt und an Apple gemeldet hatten die Forscher von Googles Projekt Zero die Schwachstellen. Apple kannte die Probleme dabei schon seit längerem. Einzelheiten sind nicht bekannt. Unter anderem wurden die Schwachstellen aber schon für macOS 10.15 und auch im neuen macOS 11 gefixt. Zudem gab es ein Sicherheitsupdate für und iPad, das eben diese Sicherheitslücken schloß. Nur Nutzer von älteren MacOS-Versionen mussten länger auf die Behebung der Probleme warten.
Laut den Entdeckern der Schwachstellen wurden die Sicherheitslücken von Dritten aktiv ausgenutzt. Solche Meldungen sind recht selten und werden im Normalfall gern heruntergespielt, doch Apple schweigt derzeit dazu. Es ist auch nicht bekannt, seit wann die Schwachstellen bestanden beziehungsweise seit wann sie ausgenutzt wurden. Die Aktualisierung wurde als Sicherheits-Update 2020-006 veröffentlicht. Apple-Nutzer bekommen die neue Version über die Update-Funktion angeboten.
In den Release-Notes heißt es dazu:
- FontParser - Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
- Auswirkung: Die Verarbeitung einer in böswilliger Absicht erstellten Schriftart kann zur Ausführung von beliebigem Code führen. Apple sind Berichte bekannt, dass ein Exploit für dieses Problem in freier Wildbahn existiert.
- Beschreibung: Ein Problem der Speicherbeschädigung wurde mit einer verbesserten Eingabevalidierung behoben.
- CVE-2020-27930: Google-Projekt Zero
- Kernel - Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
- Auswirkung: Eine bösartige Anwendung könnte in der Lage sein, beliebigen Code mit Kernel-Privilegien auszuführen. Apple sind Berichte bekannt, dass ein Exploit für dieses Problem "in the wild" existiert.
- Beschreibung: Ein Problem der Typenverwirrung wurde durch eine verbesserte Handhabung von Zuständen behoben.
- CVE-2020-27932: Google-Projekt Zero
- Kernel - Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
- Auswirkung: Eine bösartige Anwendung kann möglicherweise Kernel-Speicher offenlegen. Apple sind Berichte bekannt, dass ein Exploit für dieses Problem "in the wild" existiert.
- Beschreibung: Ein Speicherinitialisierungsproblem wurde behoben.
- CVE-2020-27950: Google-Projekt Zero
https://ift.tt/2UnlpG6
Wissenschaft & Technik
Bagikan Berita Ini
0 Response to "Aktiv ausgenutzte Sicherheitslücke: Apple startet Update für ältere Macs - WinFuture"
Post a Comment