macOS: ZIP-Archive können Apples Gatekeeper umgehen

Ein Bug im Packprogramm von macOS macht es möglich, in Archivdateien unsignierten Schadcode auszuliefern, der ohne Warnung ausgeführt wird. Ein Patch liegt vor.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen

(Bild: Nanain/Shutterstock.com)

Lesezeit: 2 Min.

Angreifer können mit manipulierten Archivdateien Schadcode auf Macs bringen, der Apples integrierte Schutzfunktion Gatekeeper umgeht. Unbeglaubigter und selbst unsignierter Code wird auf diesem Weg ohne Warnhinweis vom Betriebssystem ausgeführt, warnt der Anbieter eines Geräteverwaltungs-Tools, der den Fehler an den Hersteller gemeldet hat.

Apple hat die Schwachstelle in seinem Archivierungsprogramm bereits im Juli behoben, die Lücke aber erst jetzt nachträglich dokumentiert. Der Patch liegt sowohl für macOS 12 Monterey (ab Version 12.5) als auch die vorausgehenden Versionen macOS 11 Big Sur (ab Version 11.6.8) und macOS 10.15 Catalina (mit Sicherheits-Update 2022-005) vor. Es ist zu vermuten, dass die Schwachstelle auch in älteren Versionen von macOS existiert, für diese liefert Apple keine Sicherheits-Updates mehr aus.

Normalerweise hängt Apples Archivierungsprogramm beim Entpacken eines heruntergeladenen Archivs ein sogenanntes Quarantäne-Attribut an alle enthaltenen Dateien, sodass diese beim Öffnen von der in macOS integrierten Schutzfunktion Gatekeeper überprüft werden. Ist Software nicht von Apple geprüft respektive beglaubigt oder gar nicht signiert, wird der Nutzer gewarnt und der Startvorgang gestoppt.

Die Schwachstelle erlaubt es allerdings, ein Archiv derart zu manipulieren, dass eine enthaltene App ohne Quarantäne-Attribut entpackt wird, wie der Anbieter Jamf erläutert. Das ungepatchte Archivierungsprogramm vergesse beim Entpacken, einen temporären Ordner mit dem Quarantäne-Attribut zu versehen, das lässt sich zur Manipulation ausnutzen. Die Methode sei sowohl beim Erstellen von Apple-Archive-Dateien (.aar) als auch beim Anlegen gängiger ZIP-Archive möglich, die auch beim Download von Mac-Apps immer noch häufig anzutreffen sind. Öffnet der Nutzer die App aus einem derart manipulierten Archiv, wird diese vom Betriebssystem ungeprüft ausgeführt. Das Logikproblem im Archivierungsprogramm wurde durch eine verbesserte Prüfung behoben, teilte Apple jetzt in den aktualisierten Veröffentlichungsnotizen zu den Sicherheits-Updates mit.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)