Nachlese zum Month of Apple Bugs
Der Month of Apple Bugs ist vorbei und abseits aller Querelen um die Art der Präsentation stellt sich die Frage, welche neuen Erkenntnisse über die Sicherheit von Mac OS X diese Aktion gebracht hat.
- Daniel Bachfeld
Wie angekündigt haben die Initiatoren des Month of Apple Bugs Lance M. Havok und Kevin Finisterre jeden Tag eine Lücke in Mac OS X oder einer Anwendung dafür veröffentlicht. Dabei haben sie alle notwendigen Bausteine geliefert, mit denen sich ein Apple-Rechner von einem Angreifer übernehmen ließe. Zwar ist bei den meisten noch die Interaktion des Opfers notwendig, aber auch Mac-User sind neugierige Menschen, die vermeintlich interessanten Links im Web folgen und Dateien aus dem Internet laden. So zeigte der MoAB gleich zu Beginn mit einem Exploit, wie man über eine Lücke in Quicktime Schadcode über präparierte Webseiten auf das System schleust und startet. Ähnliches demonstrierten die Initiatoren tags darauf mit dem VLC-Player und in der Folge noch mit weiteren Mac-OS-X-Funktionen und Anwendungen anderer Hersteller.
Zwar keimte unter Mac-Anwendern Kritik auf, dass der Schadcode ja nur mit Anwenderrechten liefe und somit nichts böses anstellen könne. Allerdings ist es auch damit schon möglich, beispeilsweise Dokumente zu löschen oder Spam-Mails zu verschicken. Zudem veröffentlichten Havok und Finisterre mehrere Local-Privilege-Escalation-Lücken, über die man an Root-Rechte gelangt. Insbesondere diese Lücken zeigten erhebliche Schwächen in Mac OS X hinsichtlich der Rechtevergabe auf Pfade und Dateien: Sowohl als Mitglied der Admin-Gruppe als auch mit eingeschränkten Nutzerrechten lassen sich etwa Systemprogramme austauschen oder eigene Programme speichern und anschließend von Setuid-Programmen des Systems starten. In älteren Betriebssystemen wie Windows oder Linux finden sich Fehler nach diesen Strickmustern schon seit mehreren Jahren nur noch selten. An solch elementaren Fehlern zeigt sich, dass Mac OS X nicht ernsthaft als Multiuser-System konzipiert wurde und die Abschottung der Benutzerkonten gegeneinander offenbar kein wichtiges Design-Ziel war.
Während die meisten Schwachstellen zum Erhöhen der Rechte neu sind, stimmt es bedenklich, dass die kritischste davon schon seit langer Zeit bekannt ist. Um über die Manipulation der InputManager an Root-Rechte zu gelangen, muss ein Anwender nicht einmal Mitglied der Admin-Gruppe sein. Der OS-X-Wurm Leap.A nutzte das Schlupfloch schon vor gut einem Jahr aus, um sich automatisch mit Root-Rechten zu starten. Apple hat bis heute keine Abhilfe für dieses Problem geschaffen.
Ohnehin hat sich Apple beim MoAB zurückgehalten: Nur für die Lücke in Quicktime gab es bislang einen Patch. Für die Schwachstellen bei der Verarbeitung von DMG-Images, die auch zu Datenverlust führen können, Lücken in iChat, AppleTalk, QuickDraw und anderen Systemkomponenten hat Apple weder Patches noch Workarounds veröffentlicht. Apple hat seine Anwender nicht einmal über die Probleme benachrichtigt, wie es beispielsweise Microsoft tut, wenn eine Lücke bekannt geworden ist, aber noch kein Update zur Verfügung steht. Hier versuchte die Gruppe MoAB-Fixes um Landon Fuller in die Bresche zu springen, um inoffizielle Patches bereit zu stellen oder wenigstens Ratschläge zu geben, wie man das Problem eindämmt.
Auch nach dem MoAB ist nicht zu erwarten, dass nun massenhaft präparierte Webseiten auftauchen oder Mails mit Viren für Mac OS X verschickt werden. Dafür ist die Zahl der Apple-System wahrscheinlich zu gering, als dass es sich für die Virenautoren lohnen würde, Trojaner und Spyware zu schreiben. Dennoch zeigte der MoAB eindrucksvoll, dass gezielte Angriffe durchaus erfolgreich sein können, sofern es erforderlich ist. Apple muss sich die Fehlerliste nun dringend ins Pflichtenheft schreiben und sowohl die Lücken als auch die konzeptionellen Fehler mit Updates beseitigen. Geschieht dies nicht, dürfte der MoAB sein Ziel, die Sicherheit von Mac OS X längerfristig zu erhöhen verfehlen -- Schuld ist dann aber Apple. (dab)