Präparierte DMG-Images bringen Apples Finder zum Absturz
Ursache des Fehlers ist ein mehr als 255 Byte langer Volume-Name im DMG-Image. Die Initiatoren behaupten, dass darüber auch das Einschleusen und Ausführen von Code möglich sei.
- Daniel Bachfeld
Mit präparierten DMG-Images lässt sich der Finder unter Mac OS X 10.4.8 zum Absturz bringen, was ein Demo-Exploit von LMH, einem der Initiatoren des Month of Apple Bugs, demonstriert. Ursache des Fehlers ist wahrscheinlich ein Buffer Overflow, der durch einen mehr als 255 Byte langen Volume-Name im DMG-Image verursacht wird. Laut LMH soll auch das Einschleusen und Ausführen von Code darüber möglich sein, allerdings sei es ihm bislang nicht gelungen, den verantwortlichen SIZE-Parameter direkt zu beeinflussen.
Ein Patch von Apple steht nicht zur Verfügung, auch die Gruppe MOAB-Fixes hat noch keine inoffiziellen Updates bereitgestellt. Ein bösartiges DMG-Image kann etwa auf einer Webseite zum Download angeboten werden. In der Standardeinstellung versucht Safari eine heruntergeladene Image-Datei automatisch mit dem Finder zu öffnen.
Ein ähnlicher Fehler beim Mounten eines DMG-Images wurde bereits im Rahmen des Month of Kernel Bugs vom MOAB-Initiator LMH veröffentlicht. Der dafür veröffentlichte Exploit führte aber nicht zum Absturz des Finder, sondern brachte gleich das komplette System zum Stillstand oder Absturz. LMH behauptete damals ebenfalls, dass sich der Fehler zum Ausführen von eingeschleustem Code ausnutzen lässt. Bei einer genaueren Analyse des Problems durch andere Sicherheitsspezialisten soll sich jedoch gezeigt haben, dass sich damit gar keine Speicherbereiche überschreiben lassen und somit das Einschleusen und Ausführen von Code gar nicht möglich ist – einzig eine Kernel-Panic lässt sich damit provozieren.
Ob Apple deshalb auch noch keinen Patch für diese Schwachstelle veröffentlicht hat, obwohl sie nun rund sieben Wochen bekannt ist, ist unklar. Weitere Analysen müssen zeigen, ob LMH der neuen Lücke ebenfalls zu viel Stellenwert beigemessen hat. Anwender sollten als Workaround unter Safari unter "Allgemein" die Option "Sichere Dateien nach dem Laden öffnen" deaktivieren und keine DMG-Images aus dubiosen Quellen laden.
Siehe dazu auch:
- Apple Finder DMG Volume Name Memory Corruption, Fehlerbericht von MOAB
- Präparierte DMG-Images bringen Mac OS X zum Stillstand, Meldung auf heise Security
(dab)
