2413415

Google-Forscher veröffentlichen schweren macOS-Sicherheitsfehler

04.03.2019 | 20:46 Uhr | Stephan Wiesend

Der Fehler wurde noch nicht von Apple korrigiert, trotzdem veröffentlichte Google den Fehler nach einer 90 Tage-Frist.

Schon seit 2014 lässt Google durch das Projekt Project Zero zahlreiche bekannten Sicherheitsforscher nach Sicherheitsfehlern in Software suchen, auch Windows, Android und macOS bleiben nicht ungeschoren. Umstritten: Um Druck auf die Urheber der Software auszuüben, setzt das Team dem Hersteller der Software eine 90-Tage-Frist: Er hat nur 90 Tage Zeit, dann wird der Fehler automatisch auf der Webseite veröffentlicht.

Bei einem als „Schwer“ eingestuften Sicherheitsfehler hat es nun Apple erwischt: Ein nach Angaben der Forscher schwerer Sicherheitsfehler wurde vor drei Monaten im Kernel von macOS gefunden, gewissermaßen dem tiefsten Kern des Betriebssystems. Wie üblich hatte Apple 90 Tage Zeit um den Fehler zu korrigieren, was der Firma aber nicht gelang.

Inklusive einem Proof-of-Concept, der die Wirksamkeit des Fehlers beweist, wurde deshalb nun der unkorrigierte Fehler auf der Seite des Projektes veröffentlicht : Das eigentlich nur für Fachleute verständliche Sicherheitsproblem betrifft das Verhalten des XNU-Kernels bei so genannten Copy-on-Write-Vorgängen. Diese auch COW genannte Funktion soll Kopiervorgänge optimieren, diese werden nämlich bei einem modernen Dateisystem wie APFS gewissermaßen „zwischengespeichert“. Diese kopierten Speicherinhalte sollten  aber nicht nachträglich verändert werden können, da dies Angriffe ermöglicht. Laut Forschern lässt sich der macOS-Kernel aber durch das Mounten eines Images überlisten. Ändert man dieses Speicherabbild nämlich direkt, etwa mit pwrite(), wird diese Änderung offenbar nicht vom System registriert. Eine vollständige Beschreibung des Problems und ein Beispiel für eine Ausnutzung des Fehlers, finden sich auf einer Seite des Projektes. Die Entwickler stufen den Fehler als „Schwer“ ein.

Apple hatte angekündigt, den Fehler in einer kommenden Systemversion zu veröffentlichen, dies ist aber offensichtlich nicht innerhalb der Frist von Google gelungen.

Unsere Meinung:

Ist die 90 Tage-Frist zu kurz? Vermutlich schon, offensichtlich will das Projekt aber keine Ausnahmen machen – würden doch sonst bald andere Softwarehersteller immer mehr Aufschübe und längere Fristen verlangen.

Macwelt Marktplatz

2413415