Apple: Ein Update und zwei neue LĂĽcken
Ein Upate für Quicktime schließt eine drei Wochen alte Lücke. Ein weiterer Fehler unter Mac OS X ermöglicht es Angreifern mit eingeschränkten Rechten, an Root-Privilegien zu gelangen.
- Daniel Bachfeld
Apple hat ein Update für die Anfang Januar bekannt gewordene Lücke in Quicktime herausgegeben. Mit präparierten RTSP-URLs (Real Time Streaming Protocol) war es möglich, einen Buffer Overflow zu provozieren und darüber Schadcode auf den Stack zu schreiben und auszuführen. Eine derartige URL kann etwa in einer Webseite oder einer E-Mail eingebettet sein, sodass sie automatisch beim Besuch oder Betrachten geöffnet wird. Betroffen waren Quicktime für Windows und Mac OS X. Ein Proof-of-Concept-Exploit zu der Lücke ist bereits seit drei Wochen verfügbar. Bislang sind aber keine Fälle bekannt geworden, in denen Anwender über die Lücke mit Schädlingen infiziert wurden. Quicktime 7.1.3 schließt die Lücke.
Unterdessen sind zwei weitere Lücken in Mac OS X bekannt geworden. Über eine davon kann ein nicht privilegierter Anwender an Root-Rechte gelangen. Ursache des Problems ist die UserNotificationCenter.app-Anwendung, die mit den Rechten der Wheel-Gruppe läuft und dafür sorgt, dass beim Start einer Anwendung automatisch alle verfügbaren InputManager geladen werden – auch die im Userverzeichnis unter ~/Library/InputManagers vom Anwender abgelegten. Diese laufen dann ebenfalls mit den Rechten der Wheel-Gruppe. In Kombination mit beispielsweise diskutil und einem von der Gruppe Wheel beschreibbaren Setuid-Binary erhält man so als eingeschränkter Nutzer Root-Rechte. Dazu muss man nicht einmal Mitglied der Gruppe Admin sein. Abhilfe schafft es, nur Wheel und Root die Schreibrechte auf das Verzeichnis ~/Library/InputManagers zu geben. Ein ähnlich schwerwiegender Fehler unter Mac OS X wurde vor wenigen Tagen bekannt.
Zudem lässt sich in QuickDraw mit manipulierten Bilder im PICT-Format ein Heap Overflow provozieren. Der Fehler steckt in der Verarbeitung von ARGB-Records (Alpha RGB) und lässt sich bereit beim Betrachten eines Bildes im Browser antriggern. Über die Lücke soll sich Code einschleusen und mit den Rechten des Anwenders ausführen lassen. Beim Test eines Demo-Exploit-Bild in der heise-Security-Redaktion mit Safari passierte allerdings nichts, eine lokal gespeicherte Datei brachte beim Aufruf des Bild immerhin die Vorschau zum Absturz. Ein Patch gibt es nicht, Abhilfe bringt nur, Verknüpfung mit PICT-Bildern zu lösen.
Siehe dazu auch:
- About Security Update 2007-001, Fehlerbericht von Apple
- Apple UserNotificationCenter Privilege Escalation Vulnerability, Fehlerbericht von LMH und KF
- Apple QuickDraw GetSrcBits32ARGB() Memory Corruption Vulnerability, Fehlerbericht von LMH und KF
(dab)
