Frist verstrichen: Google enthüllt ungepatchte Schwachstelle im macOS-Kernel

Apple hat einen Bug in XNU nach 90 Tagen nicht beseitigt, nun wurden Details veröffentlicht. Googles Project Zero stuft die Schwere der Lücke als "hoch" ein.

In Pocket speichern vorlesen Druckansicht 111 Kommentare lesen
Siri an Bord

(Bild: dpa, Andrea Warnecke)

Lesezeit: 2 Min.
Von
  • Leo Becker

Sicherheitsforscher von Googles Project Zero haben Informationen zu einer Mac-Sicherheitslücke preisgegeben, die Apple bislang nicht gestopft hat. Das Copy-On-Write-Verhalten des XNU-Kernels von macOS weise einen sicherheitsrelevanten Fehler auf, heißt es. Die Schwere der Lücke wird als "hoch" eingestuft.

Ein Angreifer sei damit in der Lage, eine Datei auf einem Speicherabbild zu manipulieren: MacOS erlaubt normalen Nutzern, Image-Dateien zu mounten, merkt der Entdecker der Lücke im Monorail-Bugtracker an. "Wenn ein geöffnetes Speicherabbild direkt verändert wird, werden diese Informationen nicht an das gemountete Dateisystem weitergegeben".

Die Lücke dürfte sich für eine lokale Rechteausweitung ausnutzen lassen, vermuten Entwickler – und macOS bis hin zur aktuellen Version 10.14 Mojave betreffen. Ein zusammen mit dem Bug-Details veröffentlichter Proof of Concept soll das Problem demonstrieren.

Die Schwachstelle wurde Ende November 2018 an Apple gemeldet und nun – nach Ablauf der bei Googles Project Zero üblichen 90-Tages-Frist – für die Öffentlichkeit freigegeben. Man stehe bezüglich der Lücke in Kontakt mit Apple, bislang gibt es aber keinen Fix, heißt es im Bugtracker. Der Mac-Hersteller wolle das Problem aber mit einem kommenden Update beseitigen, man arbeite gemeinsam "an den Optionen für einen Patch". Weitere Details sollen zu einem späteren Zeitpunkt genannt werden.

Project Zeros Responsible-Disclosure-Politik gerät immer wieder in Kritik: Ein Bug wird generell 90 Tage nach der Meldung an den Hersteller bekanntgegeben, auch wenn es sich um eine schwere Schwachstelle handelt. Davon war Apple in der Vergangenheit bereits betroffen, ebenso wie andere IT-Konzerne: Im vergangenen Jahr hatte Google zum Beispiel eine damals ungepatchte Lücke in Windows 10 veröffentlicht. In macOS ist außerdem noch eine gravierende Schlüsselbund-Schwachstelle offen, die Apple wohl ebenfalls mit dem nächsten Update beseitigt. (lbe)