Apple stellt Sicherheitsupdate für macOS Mojave und macOS Catalina zum Download bereit (Update)

02. Febr. 2021 00:01 Uhr - Redaktion

Apple hat ein Sicherheitsupdate für die älteren Betriebssysteme macOS Mojave und macOS Catalina vorgelegt. Es behebt zahlreiche Schwachstellen, darunter mehrere als kritisch eingestufte Lücken. Nutzer von macOS Mojave und macOS Catalina sollten die Aktualisierung daher umgehend einspielen.

Das Sicherheitsupdate 2021-001 für macOS Mojave und macOS Catalina behebt Sicherheitslücken in Bereichen wie CoreGraphics, CoreText, Endpoint Security, FontParser, ImageIO, Kernel, OpenLDAP und Power-Management. Einige Schwachstellen ermöglichen Angreifern die Schadcode-Ausführung mit hohen Zugriffsrechten und sind daher besonders gefährlich. Einzelheiten erläutert Apple in einem Support-Dokument.

 
macOS Catalina
 
macOS Catalina: Sicherheitsupdate 2021-001 schließt viele Schwachstellen.
Bild: Apple.

 

Die Sicherheitsupdates stehen über die Softwareaktualisierung in den Systemeinstellungen zum Download bereit: Unter der Big-Sur-Hinweisbox steht der Text "Ein weiteres Update ist verfügbar", darunter der blaue Link "Weitere Informationen" => durch Klick auf diesen Link wird das Update zur Installation angeboten.

Vor der Installation empfiehlt sich das Anlegen eines vollständigen Backups. Im Zuge der Installation wird der Rechner neugestartet. Dabei wird macOS Catalina auf Build 19H512 aktualisiert und macOS Mojave auf Build 18G8012. Die Web-Downloads sind noch nicht verfügbar - wir reichen die Links nach, sobald uns diese bekannt sind.

Nachtrag (10:30 Uhr): Für macOS Mojave und macOS Catalina ist außerdem Safari 14.0.3 erschienen.

Kommentare

Der schwere Bug in Sudo scheint noch nicht gepatcht worden zu sein.
https://blog.qualys.com/vulnerabilities-research/2021/01/26/cve-2021-31…

The following versions of sudo are vulnerable:
All legacy versions from 1.8.2 to 1.8.31p2
All stable versions from 1.9.0 to 1.9.5p1

Um zu sehen, ob man betroffen ist, kann man entweder im Terminal eingeben: sudo --version
Bei Mojave erscheint hier:
Sudo version 1.8.29
Sudoers policy plugin version 1.8.29
Sudoers file grammar version 46
Sudoers I/O plugin version 1.8.29
Könnte das jemand mit Catalina bitte einmal testen?

Alternativ kann man eingeben: sudoedit -s /
To test if a system is vulnerable or not, login to the system as a non-root user.
Run command “sudoedit -s /”
If the system is vulnerable, it will respond with an error that starts with “sudoedit:”
If the system is patched, it will respond with an error that starts with “usage:”

Sudo version 1.8.31
Sudoers policy plugin version 1.8.31
Sudoers file grammar version 46
Sudoers I/O plugin version 1.8.31

Bei dem Befehl "sudoedit -s /" kommt folgendes:
[Befehl nicht gefunden: sudoedit]
[Konnte keinen neuen Prozess erstellen und ein Pseudo-TTY öffnen.]

Das ist kein Bug von Apple, sondern ein Bug des von Apple genutzten Open Source Unterbaus im Modul sudo.

Benötigt einen lokalen User, geht nicht remote.

Ob im immer besser abgesicherten Kernsystem von macOS damit überhaupt Schaden angerichtet werden kann, ist fraglich.

und funktioniert zum Glück nicht remote, wie in den Links zu lesen ist.
Vielleicht verursacht er nur Irritation, weil es der 3. Februar 2021 ist, am 30. Januar 2020 CVE-2019-18634, also der Vorgänger von einen Apple Entwickler entdeckt wurde und am 3. Februar 2020 dazu folgende Meldung erschien:
https://thehackernews.com/2020/02/sudo-linux-vulnerability.html
Und weil gestern das vermutlich letzte oder vorletzte Sicherheitsupdate für Mojave ausgerollt wurde...
Same procedure as every year? Damals waren es die Asteriske, die man sieht, wenn man das PW eingibt. Aktiv ausnutzen lässt sich der Bug wohl nur in LANs, wo evtl. rachsüchtige, experimentierfreudige Benutzer nun ein wenig experimentieren können. Was hältst Du als Admin von folgendem Szenario anno 2012?
https://apple.stackexchange.com/questions/14421/how-do-i-run-terminal-i…
Wäre von Interesse, wie viele MG-Nutzer ausschließlich in einem Kevin-Account arbeiten, um an Punkt 12 des Artikels anzuknüpfen, weil sie so von der Sicherheit ihres OS überzeugt sind...