Xcode: Lücken in Entwicklungsumgebung erlaubten beliebige Codeausführung
Zwei Lücken in der macOS-Entwicklungsumgebung Xcode vor Version 11.2 erlaubten die beliebige Programmcode-Ausführung – möglicherweise auch aus der Ferne.
(Bild: developer.apple.com)
Die in macOS integrierte Entwicklungsumgebung Xcode wies bis vor kurzem zwei Sicherheitslücken auf, die Angreifern unter bestimmten Voraussetzungen die Ausführung beliebigen Programmcodes ermöglichten.
Laut einem Sicherheitshinweis des Deutschen Forschungsnetzes (DFN-CERT) waren Angriffe (auch) aus der Ferne möglich; Apple hingegen erwähnt dieses Detail in einem eigenen Hinweis zu den Lücken CVE-2019-8800 und CVE-2019-8806 nicht. Beiden Dokumenten ist übereinstimmend zu entnehmen, dass Angreifer zum Ausnutzen der Schwachstellen eine speziell präparierte Datei benötigten.
Anwender sollten zügig auf die neue Xcode-Version 11.2 updaten, die die Sicherheitslücken laut Apple durch verbesserte Validierungsmechanismen behebt. Sie steht laut Release-Notes für macOS Mojave ab Version 10.14.4 aufwärts bereit. (ovw)
