Microsoft findet Datenschutz-kritische Sicherheitslücke in macOS

Am 17. Oktober 2024 veröffentlichte Microsoft Threat Intelligence Informationen über eine neue Schwachstelle in macOS, genannt HM Surf (CVE-2024-44133). Diese Sicherheitslücke erlaubt es Angreifern, die Schutzmechanismen der Transparenz-, Einwilligungs- und Kontrolltechnologie (TCC) von macOS zu umgehen und unautorisiert auf sensible Daten zuzugreifen. Betroffen sind Daten wie der Browserverlauf, die Kamera, das Mikrofon sowie der Standort des Geräts.

Die Schwachstelle liegt im Safari-Browser, der besondere Berechtigungen besitzt, um TCC-Kontrollen zu umgehen und so auf sensible Ressourcen zuzugreifen. Angreifer können durch gezielte Manipulation von Konfigurationsdateien im Safari-Verzeichnis diese Berechtigungen missbrauchen, um den Schutz zu entfernen und auf die besagten Informationen zuzugreifen.

Microsoft teilte die Entdeckung dieser Lücke im Rahmen des Coordinated Vulnerability Disclosure (CVD) mit Apple. Am 16. September 2024 wurde ein entsprechender Patch im Rahmen eines Sicherheitsupdates für macOS Sequoia veröffentlicht. Derzeit gelten die neuen Schutzmaßnahmen, die TCC bietet, nur für Safari, doch Microsoft arbeitet bereits mit anderen Browser-Anbietern wie Google und Mozilla zusammen, um ähnliche Schutzmechanismen zu integrieren.

Für die Sicherheit von macOS-Nutzern empfiehlt Microsoft dringend, das neueste Update zu installieren.

Related Posts

Hackerangriff auf Wertachkliniken – Betrieb massiv eingeschränkt

Nach einem schweren Hackerangriff auf die Wertachkliniken in Bobingen und Schwabmünchen ist der Betrieb stark beeinträchtigt. In der Nacht zum 1. September 2024 legten Hacker die IT-Systeme der Kliniken lahm, wodurch die Serversysteme vollständig ausfielen. Der Klinikbetrieb läuft derzeit nur noch eingeschränkt und musste auf eine analoge Notfallstruktur umgestellt werden. Geplante Operationen in Bobingen wurden vorsorglich abgesagt, weitere könnten folgen.

Read More

Massives Datenleck bei Brillen.de betrifft Millionen Kunden

Der deutsche Optiker Brillen.de hat durch ein Sicherheitsversäumnis die persönlichen Daten von über 3,5 Millionen Kunden aus Deutschland, Spanien und Österreich öffentlich zugänglich gemacht. Laut einem Bericht von Cybernews entdeckte das Rechercheteam die Datenpanne am 8. August 2024.

Read More

Datenschutz-Problem: Smart-TVs tracken Userverhalten mit ACR im Opt-Out Verfahren

Im Oktober 2024 veröffentlichten Forscher der CalTec die Studie „Watching TV with the Second-Party“, die Automatic Content Recognition (ACR) in Smart-TVs untersucht. ACR ist eine Technologie, die automatisch Inhalte erkennt, die auf dem Fernseher abgespielt werden, und diese Informationen an Server übermittelt. Dabei werden regelmäßig Bild- oder Audioschnipsel erfasst, die dann mit einer zentralen Datenbank abgeglichen werden, um das genaue Programm oder den Film zu identifizieren, das/die ein Nutzer sieht.

Read More