Xcode: Lücken in Entwicklungsumgebung erlaubten beliebige Codeausführung
Zwei Lücken in der macOS-Entwicklungsumgebung Xcode vor Version 11.2 erlaubten die beliebige Programmcode-Ausführung – möglicherweise auch aus der Ferne.
![Xcode: Lücken in Entwicklungsumgebung erlaubten beliebige Codeausführung](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/7/8/1/2/5/6/Screenshot-_351_-b256210a0e45cfb7.jpeg)
(Bild: developer.apple.com)
Die in macOS integrierte Entwicklungsumgebung Xcode wies bis vor kurzem zwei Sicherheitslücken auf, die Angreifern unter bestimmten Voraussetzungen die Ausführung beliebigen Programmcodes ermöglichten.
Laut einem Sicherheitshinweis des Deutschen Forschungsnetzes (DFN-CERT) waren Angriffe (auch) aus der Ferne möglich; Apple hingegen erwähnt dieses Detail in einem eigenen Hinweis zu den Lücken CVE-2019-8800 und CVE-2019-8806 nicht. Beiden Dokumenten ist übereinstimmend zu entnehmen, dass Angreifer zum Ausnutzen der Schwachstellen eine speziell präparierte Datei benötigten.
Anwender sollten zügig auf die neue Xcode-Version 11.2 updaten, die die Sicherheitslücken laut Apple durch verbesserte Validierungsmechanismen behebt. Sie steht laut Release-Notes für macOS Mojave ab Version 10.14.4 aufwärts bereit. (ovw)