Google publiziert ungepatchte Lücke in OS X 10.9.5

Googles Sicherheitsteam machte sich schon bei Microsoft keine Freunde, nachdem das Unternehmen gleich mehrfach in den vergangenen Monaten ungepatchte Sicherheitslücken publizierte – zuletzt in der vergangenen Woche. In allen Fällen warteten die Googler im Rahmen ihrer "Responsible-Disclosure"-Politik strikt 90 Tage nach Meldung des Bugs ab und veröffentlichten dann. In einem Fall patchte Microsoft nur wenige Tage später, weil der Konzern offenbar seinen monatlichen Patchday-Rhythmus nicht unterbrechen wollte.

Nach Microsoft ist nun auch Apple dran. Wie dem Bugtracker des Sicherheitsteams der Firma zu entnehmen ist, hat Google einen schwerwiegenden, ungepatchten Fehler in OS X offengelegt – wie sich das gehört gleich inklusive Exploit. Betroffen sein soll mindestens OS X 10.9.5, möglicherweise auch frühere Versionen. Im aktuellen Yosemite (OS X 10.10) scheint Apple bereits eine Härtung vorgenommen zu haben.

Der beschriebene Bug steckt laut Google im System-Daemon networkd. Dieser kann über die prozessübergreifende XPC-API aus Programmen angesprochen werden, die eigentlich in einer Sandbox laufen – etwa der Safari-Browser oder der Zeitdaemon ntpd, der erst kürzlich auch unter OS X ein Sicherheitsproblem hatte. Durch die Schwachstelle kann ein Angreifer dann Code über networkd ausführen und die Sandbox umgehen. Allerdings läuft networkd nicht mit allen Systemrechten, da der Daemon seinen eigenen Nutzer mit eigenen Rechten hat.

In einem eigenen Eintrag erläutert Google, wie sich der XPC-Fehler ausnutzen lässt – spezifisch unter OS X 10.9.5. In der Exploitbeschreibung ist auch zu lesen, dass libxpc in Yosemite offenbar nicht anfällig ist, da Apple eine Veränderung vorgenommen habe. Ein Google-Mitarbeiter schreibt, er habe Apple kontaktiert, um zu prüfen, ob diese Härtung aufgrund von XPC-Fehlern vorgenommen wurde. Ein Kommentar aus Cupertino steht noch aus. (bsc)