macOS-Lücke CVE-2026-39118: Nutzer deaktivieren EDR ohne Admin-Rechte
Veröffentlicht: 26.06.2026 um 15:36 Uhr, Redaktion boerse-global.de
Sie erlaubt es Standardbenutzern, zentrale Sicherheitsmechanismen wie EDR und MDM zu deaktivieren – ohne Administratorrechte. Das gefährdet die Wirksamkeit von Sicherheitsrichtlinien in Unternehmensnetzwerken erheblich.
Angriff nutzt JavaScript und NIB-Injection
Die Schwachstelle kombiniert JavaScript for Automation (JXA) mit sogenannter NIB-Injection. Angreifer mit lokalen Zugriffsrechten können Schwachstellen in der XPC-Kommunikation (Inter-Process Communication) missbrauchen. So lassen sich Sicherheitsanwendungen gezielt ausschalten.
Der Forscher Hillel Pinto demonstrierte kürzlich, wie sich gängige Schutzprogramme manipulieren lassen – darunter CrowdStrike Falcon und der Kandji MDM Agent.
Besonders kritisch: Die Methode nutzt die grundlegende Architektur von macOS aus. Die Schwachstelle CVE-2026-39118 im Kandji MDM Agent erlaubt es authentifizierten Nutzern, Schutzmaßnahmen zu umgehen. Dabei sollen diese Eingriffe genau solche unbefugten Aktionen verhindern.
Hersteller reagieren unterschiedlich
Die betroffenen Anbieter haben unterschiedlich auf die Entdeckung reagiert. Kandji hat mit Version 4.7.5(5374) bereits einen Patch veröffentlicht. CrowdStrike zahlte eine Prämie im Rahmen seines Bug-Bounty-Programms und implementierte zusätzliche Erkennungsmechanismen in seine Falcon-Plattform.
Neue Sicherheitsrisiken und technische Schwachstellen fordern Unternehmen heute mehr denn je heraus, ihre IT-Infrastruktur proaktiv zu schützen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um Sicherheitslücken effektiv zu schließen. Gratis-E-Book zu Cyber Security Trends herunterladen
Apple sieht laut den Forschern derzeit keine Notwendigkeit für eine grundlegende Behebung. Das Unternehmen habe eine Anfrage zur Anpassung der XPC-Struktur abgelehnt. Damit bleibt das Risiko bestehen, dass auch andere Sicherheitslösungen über die beschriebene Technik angreifbar bleiben.
Black-Hat-Vorstellung und Open-Source-Tool
Die Entdeckung wird im August auf der Fachkonferenz Black Hat USA detailliert vorgestellt. Die Forscher planen zudem die Veröffentlichung eines Open-Source-Tools namens „XPC Hunter“. Es soll Administratoren bei der Analyse potenzieller Schwachstellen unterstützen.
Weitere Bedrohung: „Gaslight“-Malware
Parallel zu dieser Entwicklung wurden weitere Bedrohungen für macOS bekannt. Sicherheitsanalysten von SentinelOne identifizierten eine neue Malware namens „Gaslight“. Diese in Rust geschriebene Backdoor wird einer nordkoreanischen Akteursgruppe zugeschrieben.
Sie nutzt eine ungewöhnliche Taktik: Zahlreiche gefälschte Fehlermeldungen im Code sollen automatisierte, KI-gestützte Analysetools in die Irre führen.
Angesichts immer komplexerer Angriffsszenarien wie der „Gaslight“-Malware ist eine fundierte Präventionsstrategie für Firmen unerlässlich. Experten erklären in diesem kostenlosen E-Book, wie Sie Ihr Unternehmen proaktiv absichern und IT-Sicherheit ohne teure Investitionen stärken. Jetzt kostenlosen Sicherheits-Ratgeber sichern
Apple testet neue Sicherheitsfunktionen
Während Apple die spezifische Designlücke bislang nicht schließt, testet das Unternehmen in aktuellen Beta-Versionen von macOS Tahoe neue Funktionen. Diese „Background Security Improvements“ sollen kritische Updates für Safari, WebKit und Systembibliotheken unabhängig von umfassenden Betriebssystem-Updates im Hintergrund verteilen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
