Updates für macOS und iOS verfügbar: Apple stopft kritische Sicherheitslücke in FaceTime-Gruppenchats

08. Febr. 2019 10:45 Uhr - Redaktion

Vor rund einer Woche ist in Apples Kommunikationssoftware FaceTime ein schwerwiegendes Sicherheitsproblem entdeckt worden: Anrufer waren dadurch in der Lage, das Mikrofon eines Macs oder iOS-Geräts aus der Ferne zu aktivieren - ohne dass die angerufene Person das Gespräch annehmen musste. Der Bug steckt in der Gruppenchat-Funktion, die erst im Herbst eingeführt wurde.

Um die Schwachstelle auszunutzen, musste die eigene Rufnummer nach dem Starten eines Telefonats hinzugefügt werden, anschließend aktivierte sich das Mikrofon der angerufenen Person automatisch und ohne Zutun. Lehnte die angerufene Person das Gespräch ab, wurde sogar die Kamera eingeschaltet.

 
macOS Mojave
 
macOS Mojave: Ergänzungsupdate schließt kritische FaceTime-Lücke.
Bild: Apple.

 

Apple reagierte nach Bekanntwerden der Sicherheitslücke umgehend und deaktivierte die Gruppenfunktion serverseitig. Gleichzeitig kündigte der Hersteller Updates an, die die Schwachstelle schließen. Diese Aktualisierungen sind nun in Form des "macOS Mojave 10.14.3 Ergänzendes Update" (oder alternativ über die Softwareaktualisierung in den Systemeinstellungen) sowie von iOS 12.1.4 (erhältlich via iTunes oder die iOS-Aktualisierungsfunktion) verfügbar. Über die sicherheitsrelevanten Änderungen informiert Apple hier und hier. macOS 10.14.3 wird auf Build 18D109 aktualisiert.

Im Zuge der von Apple durchgeführten Sicherheitsüberprüfung ist auch eine nicht näher beschriebene Schwachstelle in der Live-Photos-Funktion von FaceTime aufgespürt und in den aktuellen Updates behoben worden, ebenso eine Sicherheitslücke im Zusammenhang mit Zugriffsberechtigungen.

Die FaceTime-Gruppenchats wurden im Herbst mit macOS 10.14.1 und iOS 12.1 eingeführt. Ältere Betriebssystemversionen sind von der Schwachstelle daher nicht betroffen. FaceTime-Einzelgespräche sind von der Problematik ebenfalls nicht betroffen und können weitergenutzt werden.

Kommentare

Es besteht die Gefahr bei der Installation dieses Patches auf nicht unterstützten Macs, dass man sich das System zerschiesst.

Laut dieser Seite soll es aber bis jetzt keine Probleme geben:

https://forums.macrumors.com/threads/macos-10-14-mojave-on-unsupported-…

Ich werde es wagen...

Backup vor der Installation!

...

Diese Software wird von deinem System nicht unterstützt.

Na dann, eben nicht. Benutze Facetime eh nicht, und für ein Herumgeschraube habe ich keine Zeit.

Nach dem Update war die Systemsprache teilweise plötzlich Englisch. OK, konnte ich im Terminal mit
sudo languagesetup
korrigieren, aber was soll das denn, Apple?! Zu schnell rausgehauen und nicht sorgsam getestet, was?

Ich habe es nicht aufgegeben und es geht: 

Download the update.

Open the update.

Move the update.pkg to Desktop.

Open Terminal.

Enter pkgutil --expand now drag and drop the .pkg from the Desktop into the Terminal window and type after a space ~/Desktop/Expanded hit Return and wait, this takes a little while.

Open Expanded folder and then open Distribution file in Text Edit

Scroll down to the line

function InstallationCheck(prefix) {

enter the text return true; so it looks like this

function InstallationCheck(prefix) {return true;

Now save the changes

If you are trying to install the update to an HFS+ disk then there is another alteration you can make, before flattening and creating the package.

Again in the Distribution file scroll down to

function VolumeCheck(prefix) {

again enter return true; after the bracket, so it looks like this,

function VolumeCheck(prefix) {return true;

Save changes

Go back to Terminal enter pkgutil --flatten ~/Desktop/Expanded ~/Desktop/Modified.pkg

Using the .pkg extension is crucial.

One thing to note is if your Mac like mine has different OS's on it on other drives this method will tell you that all drives are able to install the update, DO NOT INSTALL ON ANY DISK/ PARTITION, ONLY INSTALL TO A DISK/ PARTITION THAT HAS MOJAVE ON IT. Select your disk wisely, and double check.

 

https://forums.macrumors.com/threads/macos-10-14-mojave-on-unsupported-…

 

Dank an https://forums.macrumors.com/members/l-caputo.984283/