Zugriff auf Kamera, Mikrofon und Browser-Daten: Microsoft entdeckt Safari-Lücke
Der mittlerweile gefixte Bug "HM Surf"basiert auf Problemen mit App-Permissions. Betroffen waren allerdings nur bestimmte Personengruppen.
Safari-Icon: Problematische Lücke, aber nur unter gewissen Umständen.
(Bild: Apple)
Microsoft hat Details zu einer macOS-Lücke veröffentlicht, mit der es unter Umständen möglich war, sensible Browser-Daten in Apples Safari abzugreifen – darunter auch den Zugriff auf Kamera, Mikrofon und weitere Informationen. Betroffen waren Firmen- und Bildungskunden, deren Geräte mittels Mobile Device Management (MDM) administriert werden, nicht jedoch reguläre Anwender.
Fix steckt nur in Sequoia
Der Fehler trägt die CVE-ID 2024-44133 und wurde im Rahmen der Veröffentlichung von macOS 15 Sequoia am 16. September behoben – in macOS 14.7, das gleichzeitig veröffentlicht wurde, allerdings aus bislang unklaren Gründen nicht. Apple beschreibt den Bug selbst so: "Auf Geräten, die über MDM verwaltet werden, kann eine App möglicherweise bestimmte Datenschutzeinstellungen umgehen." Betroffen sind alle aktuellen Macs: iMac ab 2019, iMac Pro ab 2017, Mac Studio ab 2022, Mac Pro ab 2019, Mac mini ab 2018, MacBook Air ab 2020 und MacBook Pro ab 2018.
Der Fehler, den Microsofts Sicherheitsteam "HM Surf" getauft hat, betrifft die Art, wie macOS Zugriff auf sensible Systemfunktionen erteilt – im Rahmen der TCC-Technik (Transparency, Consent and Control). Wie Microsoft festgestellt hat, wurden für Safari verschiedene lokale Dateien vorgehalten, die die TCC-Policy für den Browser steuern. Sie schreiben unter anderem fest, wenn man einer Website Zugriff auf Kamera oder Mikrofon erteilt hat.
Home-Verzeichnis mit dscl-Kommando verändert
Den Microsoft-Forschern gelang es, die TCC-Dateien zu verändern, indem sie das Home-Verzeichnis kurzzeitig veränderten, was durch TCC eigentlich nicht möglich sein dürfte. Dabei setzten sie das Kommandozeilenwerkzeug DSCL ein. Nach Veränderung des Home-Verzeichnisses war es möglich, die Safari-TCC-Konfiguration zu verändern; anschließend wurde das Home-Verzeichnis wieder zurückgesetzt, sodass die veränderte Konfiguration ausgelesen wurde, um einer Angreifer-Website Zugriff auf die Kamera oder das Mikrofon zu erteilen.
Ob es bereits zu einem Angriff kam, ist unklar, allerdings sollen sich die Macher der Adware "AdLoad" für die Exploit-Art interessiert haben, so die Microsoft-Forscher. Da der Angriff grundsätzlich nur auf per MDM kontrollierten Macs möglich war, wäre eine größere Verbreitung aber unwahrscheinlich. Die Bedrohung wird daher auch mit nur 5,5 von möglichen 10 Punkten im Rahmen des Common Vulnerability Scoring System (CVSS) eingestuft. Apple behob das Problem, indem "angreifbarer Code entfernt" wurde.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
