Frist verstrichen: Google enthĂĽllt ungepatchte Schwachstelle im macOS-Kernel
Apple hat einen Bug in XNU nach 90 Tagen nicht beseitigt, nun wurden Details veröffentlicht. Googles Project Zero stuft die Schwere der Lücke als "hoch" ein.
Sicherheitsforscher von Googles Project Zero haben Informationen zu einer Mac-SicherheitslĂĽcke preisgegeben, die Apple bislang nicht gestopft hat. Das Copy-On-Write-Verhalten des XNU-Kernels von macOS weise einen sicherheitsrelevanten Fehler auf, heiĂźt es. Die Schwere der LĂĽcke wird als "hoch" eingestuft.
Bug im XNU-Kernel, Risikostufe "hoch"
Ein Angreifer sei damit in der Lage, eine Datei auf einem Speicherabbild zu manipulieren: MacOS erlaubt normalen Nutzern, Image-Dateien zu mounten, merkt der Entdecker der Lücke im Monorail-Bugtracker an. "Wenn ein geöffnetes Speicherabbild direkt verändert wird, werden diese Informationen nicht an das gemountete Dateisystem weitergegeben".
Die Lücke dürfte sich für eine lokale Rechteausweitung ausnutzen lassen, vermuten Entwickler – und macOS bis hin zur aktuellen Version 10.14 Mojave betreffen. Ein zusammen mit dem Bug-Details veröffentlichter Proof of Concept soll das Problem demonstrieren.
Responsible Disclosure mit 90-Tages-Frist
Die Schwachstelle wurde Ende November 2018 an Apple gemeldet und nun – nach Ablauf der bei Googles Project Zero üblichen 90-Tages-Frist – für die Öffentlichkeit freigegeben. Man stehe bezüglich der Lücke in Kontakt mit Apple, bislang gibt es aber keinen Fix, heißt es im Bugtracker. Der Mac-Hersteller wolle das Problem aber mit einem kommenden Update beseitigen, man arbeite gemeinsam "an den Optionen für einen Patch". Weitere Details sollen zu einem späteren Zeitpunkt genannt werden.
Project Zeros Responsible-Disclosure-Politik gerät immer wieder in Kritik: Ein Bug wird generell 90 Tage nach der Meldung an den Hersteller bekanntgegeben, auch wenn es sich um eine schwere Schwachstelle handelt. Davon war Apple in der Vergangenheit bereits betroffen, ebenso wie andere IT-Konzerne: Im vergangenen Jahr hatte Google zum Beispiel eine damals ungepatchte Lücke in Windows 10 veröffentlicht. In macOS ist außerdem noch eine gravierende Schlüsselbund-Schwachstelle offen, die Apple wohl ebenfalls mit dem nächsten Update beseitigt. (lbe)