Month of Apple Bugs: Lücke in Apples iPhoto

Nach dem weniger spektakulären dritten Fehler im Rahmen des Month of Apple Bug legt der Sicherheitsspezialist Kevin Finisterre nun wieder mehr Zündstoff nach: Ein Fehler in Apples Photocasting iLife iPhoto soll sich von Angreifern ausnutzen lassen, um in einen Mac Code zu schleusen und mit den Rechten des Anwenders auszuführen. Mit iPhoto können Anwender ihre digitalen Fotosammlungen untereinander austauschen. Durch einen abonnierbaren XML-Feed können sich Anwender darüber informieren lassen, wenn etwa neue Bilder zu einem Album hinzugekommen sind oder ein Album neu angelegt wurde.

In der iPhoto-Version 6.0.5 (316) hat Finesterre allerdings eine Format-String-Schwachstelle gefunden. Mit manipulierten title-Elementen im XML-Feed soll sich der Mac Code unterjubeln lassen. Zwar soll der nicht ausführbare Stack unter Mac OS X die Ausführung des eingeschmuggelten Codes verhindern, Finesterre schreibt in seinem Fehlerbericht aber, dass sich der Schutz mit der "dyld_stub overwrite technique" aushebeln lasse. Ein Angreifer könnte also vermeintlich interessante Alben ins Netz stellen und interessierte Anwender über den Feed etwa mit Schädlingen infizieren.

Der von Finisterre veröffentlichte Demo-Exploit brachte im Test der heise-Security-Redaktion iPhoto auf einem Mac mini (x86) zum Absturz. Anders als etwa beim Exploit für die Lücke in VLC enthält der Exploit aber auch keinen Shellcode. Ein offizieller Patch von Apple steht zwar nicht bereit, mittlerweile hat sich aber um den Apple-Enthusiasten Landon Fuller eine Gruppe "MOAB Fixes" geschart, die inoffizielle Patches für alle Lücken liefern will. Die Patches sind kumulativ, der jeweils letzte enthält also auch alle Fixes für die vorherigen Lücken. Zum Einspielen des Patches ist allerdings der Application Enhancer (APE) notwendig.

Siehe dazu auch:

• iLife iPhoto Photocast XML title Format String Vulnerability, Fehlerbericht von MOAB

(dab)