Unsicheres Déjà-vu-Erlebnis unter Mac OS X
Die Backup-Software "Déjà Vu" für MacOS X erlaubt auch eingeschränkten Benutzern das Ausführen beliebiger Programme mit Administrator-Privilegien.
- Andreas Beier
Auch Mac-User sind vor den Folgen schlampiger Programmierung nicht gefeit. Die Backup-Software Déjà Vu von Propaganda Productions, die in einer abgespeckten Variante auch zum Lieferumfang des beliebten Brennprogramms Roxio Toast Titanium gehört, ist so ein Beispiel. Wie das Netragard Vulnerability Research Team herausgefunden hat, kann Schadsoftware darüber volle Kontrolle über einen Rechner erlangen, auch wenn sie unter einem Konto mit eingeschränkten Rechten läuft.
Déjà Vu ruft über zum Paket gehörende externe Module unter anderem bei manuellen Datensicherungen mit der Unix-Funktion system Kommandozeilenbefehle wie rm, mv oder chmod auf. Allerdings gibt sie dabei nicht den vollständigen Pfad an, etwa /bin/rm, sondern nur den Befehlsnamen und überlässt es dem System, anhand des Inhalts der Umgebungsvariablen PATH den Befehlspfad zu komplettieren. Manipuliert nun ein Angreifer den Inhalt der Umgebungsvariablen PATH durch Hinzufügen eines Verzeichnisses mit schädlichen Programmen namens rm, mv oder chmod, so ruft Déjà Vu dieses unwissentlich auf.
Es kommt aber noch schlimmer: Da die externen Module von Déjà Vu aufgrund des gesetzten Setuid-Bits mit den Rechten ihres Besitzers, dem Super-Users root, arbeiten, laufen auch die von dort aufgerufenen Kommandozeilenbefehle derart privilegiert – sie können also ohne Einschränkung Schaden im System anrichten. Programme mittels des Setuid-Bits mit höheren Rechten auszustatten, ist an sich nichts Ungewöhnliches. Diese Strategie kommt immer dann zum Einsatz, wenn ein Benutzer mit eingeschränkten Rechten höher priviligierte Aufgaben erledigen können soll. Dass dieser Ansatz ein Sicherheitsrisiko darstellen kann, ist seit Langem bekannt.
Der Angriff funktioniert unabhängig von der Gruppenzugehörigkeit des aktiven Benutzers – egal, ob ein Anwender seinen Mac verwalten darf, also zur Gruppe "admin" gehört, oder nur eingeschränkter Benutzer ist. Netragard hat nach eignenen Angaben den Hersteller informiert, ein Patch, der die Lücke schließt, ist jedoch noch nicht verfügbar.
Siehe dazu auch: (adb)
- Security Advisory des Netragard Vulnerability Research Teams
