Xcode: Lücken in Entwicklungsumgebung erlaubten beliebige Codeausführung
Zwei Lücken in der macOS-Entwicklungsumgebung Xcode vor Version 11.2 erlaubten die beliebige Programmcode-Ausführung – möglicherweise auch aus der Ferne.
Die in macOS integrierte Entwicklungsumgebung Xcode wies bis vor kurzem zwei Sicherheitslücken auf, die Angreifern unter bestimmten Voraussetzungen die Ausführung beliebigen Programmcodes ermöglichten.
Laut einem Sicherheitshinweis des Deutschen Forschungsnetzes (DFN-CERT) waren Angriffe (auch) aus der Ferne möglich; Apple hingegen erwähnt dieses Detail in einem eigenen Hinweis zu den Lücken CVE-2019-8800 und CVE-2019-8806 nicht. Beiden Dokumenten ist übereinstimmend zu entnehmen, dass Angreifer zum Ausnutzen der Schwachstellen eine speziell präparierte Datei benötigten.
Anwender sollten zügig auf die neue Xcode-Version 11.2 updaten, die die Sicherheitslücken laut Apple durch verbesserte Validierungsmechanismen behebt. Sie steht laut Release-Notes für macOS Mojave ab Version 10.14.4 aufwärts bereit. (ovw)