macOS Monterey & log4shell Exploit

Freigabe von macOS Monterey für alle Amy Kunden

Mit der Veröffentlichung von macOS 12.1, dem ersten Wartungsupdate von macOS Monterey ist das neue Betriebssystem bereit für den breiten Einsatz.

Monterey bietet nicht nur viele interessante neue Features sondern auch diverse wichtige Verbesserungen im Bereich Sicherheit. Wir werden daher Anfangs 2022 eine Upgrade-Aktion starten. Das Ziel ist es, möglichst viele Geräte zu aktualisieren, indem wir die Benutzenden aktiv mit Nachrichten zum Upgrade motivieren. Für ein erfolgreiches Upgrade empfehlen wir, dass bei jeder Institution ein ICT-Verantwortlicher in den nächsten Tagen einige Geräte aktualisiert und die Standard-Applikationen und Drucker in der lokalen Umgebung testet.

Das Upgrade wird über Self Service -> macOS Monterey ausgeführt. Falls es Probleme geben sollte, unterstützen wir euch gerne.

Das Upgrade  ist mit folgenden Geräten kompatibel:

  • MacBook (Anfang 2016 oder neuer)
  • MacBook Air (Anfang 2015 oder neuer)
  • MacBook Pro (Anfang 2015 oder neuer)
  • iMac (Ende 2015 oder neuer)
  • iMac Pro
  • Mac mini (Ende 2014 oder neuer)
  • Mac Pro (Ende 2013 oder neuer)

Weitere Infos gibt es unter apple.com/chde/macos/monterey.


log4shell Exploit

Am letzten Freitag wurde bekannt, dass eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der Java-Logging-Bibliothek Log4j können Hacker beliebigen Code auf Servern ausführen. Betroffen sind Dienste von Apple, Twitter, Steam, Amazon und auch Webserver Lösungen wie z. B. Jamf Pro auf welchem unser Client Management basiert.

Jamf hat am Samstag um 02:00 (UTC) mit dem Update 10.34.1 die Lücke geschlossen und das Amy Team spielte im Rahmen eines Notfall Wartungsfensters am Samstag zwischen 10:00 und 12:00 das Update auf unseren 360 Amy Instanzen ein.

Auch alle unseren übrigen anykey Dienste wurden in den letzten Tagen überprüft und wir konnten alle Sicherheitslücken innert kürzester Zeit schliessen. Wir haben sämtliche Protokolle überprüft und konnten dabei keinen Angriff feststellen.

Weitere Infos zum Exploit: Heise online: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen