macOS: Böser Fehler in Paketmanager Homebrew
Über manipulierte Casks war es möglich, unerwünschten Code auf den Rechner zu holen. Exploits gab es wohl nicht.
(Bild: Screenshot brew.sh)
Über den populären Paketmanager Homebrew war es aufgrund eines Fehlers möglich, beliebigen Code auf den Rechner zu spielen. Die Software, die vor allem unter macOS beliebt ist, aber auch für Linux vorliegt, ließ sich über die Cask-Funktion manipulieren, mit der statt nur Kommandozeilenwerkzeuge auch GUI-Anwendungen, Plugins, Schriftarten und andere Formen von Software installiert werden kann.
Problem in einer GitHub-Aktion
Entdeckt hat die Lücke der japanische Sicherheitsforscher RyotaK, der nähere Angaben in seinem Blog publiziert hat. Das Problem wurde über die Bug-Bounty-Plattform HackerOne gemeldet, die Homebrew nutzt. Laut Informationen von Homebrew lag der Fehler in der GitHub-Aktion "review-cask-pr", die in den Repositories homebrew-cask (Default-Repository für Casks) und homebrew-cask* verwendet wird. Bei Pull-Requests zur Änderung einer Cask-Version winkte review-cask-pr diese stets durch und löste die hauseigene "automerge"-GitHub-Aktion aus.
Harmloser Proof-of-Concept
Laut einem (harmlosen) Proof-of-Concept ließ sich so dann unerwünschter Code einschmuggeln. Homebrew hat "automerge" und "review-cask-pr" aus allen angreifbaren Repositories entfernt. Intern soll der Fehler an einer falsch angewendeten "git_diff"-Funktion liegen. Diese ließ sich dann austricksen, um böswilligen Code einzuschleusen.
Funktion ausgetauscht
Aktuell gibt es keine Hinweise darauf, dass der Bug in Form eines Exploits ausgenutzt wurde. Laut Homebrew wurde lediglich der Proof-of-Concept mit Genehmigung des Projekts publiziert, der jedoch nur eine harmlose Veränderung vornahm, die schließlich zurückgenommen wurde. Homebrew teilte weiter mit, dass von Nutzerseite keine Änderungen vorgenommen müssten. Die Funktion "automerge" werde künftig gegen die in GitHub integrierte Funktion ausgetauscht. Man werde zudem detailliertere Dokumentationen für Maintainer veröffentlichen, um diese besser an homebrew/cask und homebrew/core heranzuführen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Homebrew war kürzlich erstmals für M1-Macs angepasst worden. Einen ausführlichen Ratgeber zur Nutzung von Homebrew liefert Mac & i in einem eigenen Artikel. (bsc)
