DoS-Schwachstelle in Apples iChat
So lässt sich der iChat-Agent durch präparierte Bonjour-Meldungen zum Absturz bringen. Über das Tool crashdump kann man an Root-Rechte gelangen. Mit präparierten WMV-Dateien lässt sich Code einschmuggeln.
- Daniel Bachfeld
LMH und KF haben im Rahmen des "Month of Apple Bugs" drei weitere Schwachstellen in Mac OS X und einer Apple-Anwendung gemeldet. So lässt sich der iChat-Agent durch präparierte Bonjour-Meldungen zum Absturz bringen. Dazu genügt es, Pakete mit bestimmten TXT-Key-Hashes zu versenden. Da Bonjour ein Broadcast-Dienst ist, reicht ein einziges Paket, um alle im LAN erreichbaren iChat-Clients abzuschießen. Bonjour dient dazu, Computer, Peripherie und Dienste im Netz bekannt zu machen, sodass Anwender ohne aufwendige Konfiguration darauf zugreifen können. Laut Fehlerbericht lässt sich aber nicht genau festlegen, ob die Lücke nun in iChat oder im mDNSResponder steckt, der für die Verarbeitung der per Bonjour übertragenen DNS-Records verantwortlich ist.
Zudem lässt sich eine weitere Privilege-Escalation-Lücke ausnutzen, um an Root-Rechte zu gelangen – allerdings nur, wenn man noch Mitglied der Admin-Gruppe ist. Diesmal ist das Tool crashdump die Ursache des Problems, das bei Abstürzen von Anwendungen Speicherauszüge in Verzeichnisse schreibt, die der Anwender manipulieren kann. Durch das Anlegen von symbolischen Links soll es dann möglich sein, eigene Bibliotheken oder Binaries anzulegen, die mit den Rechten von crashdump gestartet werden – also Root.
Darüber hinaus lässt sich mit präparierten Mediadateien im WMV-Format Code auf einen Apple-Rechner schmuggeln und mit den Rechten des Anwenders ausführen. Dazu müssen aber die Flip4Mac Windows Media Components for QuickTime Version 2.1.0.33 installiert sein, was standardmäßig nicht der Fall ist.
Siehe dazu auch:
- Ăśbersicht des MOAB, Fehlerberichte von LMH und KF
(dab)