macOS 10.14.3-Zusatzupdate mit Fix für FaceTime-Bug erschienen

Apple hat ein neben iOS 12.1.4 auch eine Aktualisierung für macOS herausgegeben. Das Zusatzupdate für macOS 10.14.3 Mojave soll laut Apple ingesamt drei Sicherheitsmängel beheben und steht ab sofort zum Download bereit. Für ein Zusatzupdate ist die Aktualisierung mit 1,85 GB recht groß ausgefallen.


Kompatibilität mit iOS 12.1.4 und FaceTime-Gruppenchats
iOS 12.1.4 behebt einen schweren Sicherheitsmangel, bei dem Anrufer vor Annehmen eines Anrufes ausspioniert werden konnten – Apple reagierte zuerst mit der Abschaltung der FaceTime-Gruppenanruf-Funktionalität in iOS 12.1. Nach Erscheinen von iOS 12.1.4 aktivierte Apple kurz darauf die Gruppenfunktionen wieder. Beim Zusatzupdate für macOS 10.14.3 schreibt Apple, dass auch hier der bekannte FaceTime-Bug behoben wurde und Gruppenchats über FaceTime zwischen Macs und iOS-Geräten nun wieder möglich sind. Beim Mac konnte allerdings bisher nicht nachgewiesen werden, dass sich der FaceTime-Fehler auch hier ausnutzen lässt – daher wird das Zusatzupdate wahrscheinlich nur die Kompatibilität mit iOS 12.1.4 wieder herstellen anstatt auch hier eine Schwachstelle zu beheben.

Speicher-Schwachselle ausgemerzt, die aktiv ausgenutzt wurde
Ferner hat Apple einen Sicherheitsmangel behoben, über den Angreifer durch einen Speicherverwaltungsfehler höhere Rechte erhalten konnten als vorgesehen (CVE-2019-7286, bisher noch gesperrt).

Gegenüber ZDNet äußerte sich Googles Project Zero Sicherheitsteam und gab bekannt, dass dieser Fehler zumindest auf iOS-Geräten aktiv ausgenutzt wurde – Details, auf welchem Weg der Bug ausgenutzt wurde, sind leider keine bekannt.

FaceTime-Fehler bezüglich Live-Fotos
Aufgrund des Fehlers, durch den das Mithören über das Mikrofon eines Angerufenen vor Annahme des Gespräches möglich war, unterzog Apple anscheinend die gesamte FaceTime-Architektur einer Sicherheitsinspektion. Dabei scheint Apple ein Mangel bezüglich Live-Fotos und FaceTime aufgefallen zu sein, welchen Apple mit dem Zusatzupdate für macOS 10.14.3 und iOS 12.1.4 ebenfalls korrigiert. Es ist nicht bekannt, wie schwer dieser Fehler war oder ob er aktiv ausgenutzt wurde. Die CVE-Nummer wurde zwar bereits an Apple (CVE-2019-7288) vergeben, aber auch hier wurden noch keine Details zu der Schwachstelle veröffentlicht.

Kommentare

shivaZ
shivaZ08.02.19 09:42
Für ein Zusatzupdate ist die Aktualisierung mit 1,85 GB recht groß ausgefallen.

Mein iMac 5K (late 2015) gab sich mit 987,7 MB zufrieden
ɔɐɯ ɔɐɯ ɔɐɯ - sometimes I sit and think, and sometimes I just sit
+1
GothicGayTuerke
GothicGayTuerke08.02.19 09:58
Ich habe auf mbpr 2018 nur 987 mb
0
larsvonhier
larsvonhier08.02.19 10:14
Funktioniert OTA auch auf meinem MBAir 4,1 mit Sprung von 10.14.3 beta 3 auf die jetzt gepatchte finale 10.14.3. War dann aber auch mit 1,7GB etwas größer (quasi ein combo-update?).
0
Mendel Kucharzeck
Mendel Kucharzeck08.02.19 10:32
Komisch, auf einem MBP 2016 und MBP 2014, beide mit 10.14.3, war das Update immer fast 2GB groß....habs extra auf zwei Geräten getestet.
-1
jokermainz
jokermainz08.02.19 12:35
Auf meinem iMac 27 (2017) waren es 987,7 MB
Es gibt nichts, das man nicht lernen könnte ...
+2
Sam Casel
Sam Casel08.02.19 14:04
Auf meinem Mac mini & MBP war das Update auf beiden 987mb gross.
0
Esperanto09.02.19 03:31
Seit dem Update ist mein iMac Pro laut geworden, den ich zuvor nie gehört habe. Schade!!!
0
sierkb09.02.19 18:46
Jeff Johnson (09.02.2019): Spying on Safari in Mojave
At the end of this blog post I'll provide an update to yesterday's blog post, but first and more importantly I want to report a new hole that I just found in macOS Mojave's privacy protections. This hole exists in every version of Mojave, including macOS Mojave 10.14.3 Supplemental Update released on February 7.

Jeff Johnson (08.02.2019): Still no credit from Apple Product Security

Jeff Johnson, 08.02.2019
[…]
I could continue to pester Apple Product Security by email, but I don't feel like it. I shouldn't have to. I shouldn't have to do anything except report the bug, which I did. I can accept that a mistake was made when my bug was not credited along with all of the others on October 30. What I cannot accept is that it takes more than 3 months to fix the mistake and simply update a web page on their site.
[…]
Jeff Johnson about Jeff Johnson
Who: Jeff Johnson, an independent software developer on Apple platforms, is the creator of StopTheMadness and Underpass, an encrypted chat and file transfer app for Mac and iOS. Jeff was a longtime engineer at Rogue Amoeba Software. Before that, Jeff worked on apps such as Knox (originally developed by MK&C, later sold to AgileBits) and the open source RSS reader Vienna.
[…]
Who is the developer?
Underpass was created by Jeff Johnson, an independent developer with over a decade of software engineering experience on Apple platforms. Jeff was a longtime engineer at Rogue Amoeba Software, working on apps such as Airfoil. Before that he was the lead engineer of Knox (originally developed by MK&C, later sold to AgileBits) and the lead engineer of the open source RSS reader Vienna.

Jeff is also the developer of the StopTheMadness web browser extension.
Q: ,
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen