Google legt auch ungepatchte Sicherheitslücke in OS X 10.9.5 offen

Nach mehreren Schwachstellen in Windows hat Google im Rahmen seines Project Zero auch eine schwerwiegende Sicherheitslücke in Apples Betriebssystem OS X entdeckt und sie jetzt gemäß seiner Richtlinien nach einer Sperrfrist von 90 Tagen publik gemacht. Außerdem liefert es direkt Exploit-Code mit, der aber bisher nur unter OS X 10.9.5 getestet wurde.

Der von Google beschriebene Fehler steckt im System-Daemon networkd. Dieser lässt sich über die prozessübergreifende XPC-API von Anwendungen aufrufen, die eigentlich in einer Sandbox laufen. Dazu gehören beispielsweise der Browser Safari oder der Zeit-Daemon ntpd.

Angreifer können die Lücke laut Google ausnutzen, um unter Umgehung der Sandbox Code in networkd auszuführen. Allerdings verfügt der Daemon nicht über alle Systemrechte, sondern läuft als eigener Nutzer mit eigenen Rechten.

In einer gesonderten Exploitbeschreibung erklärt Google, wie sich der Bug unter OS X 10.9.5 ausnutzen lässt. In einem späteren Update dazu heißt es, dass libxpc unter OS X 10.10 Yosemite nicht anfällig sei, weil Apple hier bereits eine Härtung vorgenommen habe.

Nach Angaben von Google wurde Apple am 20. Oktober über die geschilderte Schwachstelle informiert. Da Apple bis zum gestrigen Ablauf von Googles Sperrfrist keinen Fix dafür bereitgestellt hat, wurde sie nun veröffentlicht. Neben OS X 10.9.5 könnten auch frühere Versionen des Betriebssystems betroffen sein.

Ähnlich war Google schon mit den zuletzt von seinem Sicherheitsforscher James Forshaw gefundenen Lücken in Windows verfahren. Damit zog es sich den Unmut von Microsoft zu, das Google zuvor bereits mitgeteilt hatte, an Patches zu arbeiten, und um eine Verschiebung der Offenlegung bat. Diese Bitte ignorierte Google jedoch, obwohl seine Sperrfrist in einem Fall nur zwei Tage vor Microsofts Patchday auslief.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de