Nach mehreren Schwachstellen in Windows hat Google im Rahmen seines Project Zero auch eine schwerwiegende Sicherheitslücke in Apples Betriebssystem OS X entdeckt und sie jetzt gemäß seiner Richtlinien nach einer Sperrfrist von 90 Tagen publik gemacht. Außerdem liefert es direkt Exploit-Code mit, der aber bisher nur unter OS X 10.9.5 getestet wurde.
Der von Google beschriebene Fehler steckt im System-Daemon networkd. Dieser lässt sich über die prozessübergreifende XPC-API von Anwendungen aufrufen, die eigentlich in einer Sandbox laufen. Dazu gehören beispielsweise der Browser Safari oder der Zeit-Daemon ntpd.
Angreifer können die Lücke laut Google ausnutzen, um unter Umgehung der Sandbox Code in networkd auszuführen. Allerdings verfügt der Daemon nicht über alle Systemrechte, sondern läuft als eigener Nutzer mit eigenen Rechten.
In einer gesonderten Exploitbeschreibung erklärt Google, wie sich der Bug unter OS X 10.9.5 ausnutzen lässt. In einem späteren Update dazu heißt es, dass libxpc unter OS X 10.10 Yosemite nicht anfällig sei, weil Apple hier bereits eine Härtung vorgenommen habe.
Nach Angaben von Google wurde Apple am 20. Oktober über die geschilderte Schwachstelle informiert. Da Apple bis zum gestrigen Ablauf von Googles Sperrfrist keinen Fix dafür bereitgestellt hat, wurde sie nun veröffentlicht. Neben OS X 10.9.5 könnten auch frühere Versionen des Betriebssystems betroffen sein.
Ähnlich war Google schon mit den zuletzt von seinem Sicherheitsforscher James Forshaw gefundenen Lücken in Windows verfahren. Damit zog es sich den Unmut von Microsoft zu, das Google zuvor bereits mitgeteilt hatte, an Patches zu arbeiten, und um eine Verschiebung der Offenlegung bat. Diese Bitte ignorierte Google jedoch, obwohl seine Sperrfrist in einem Fall nur zwei Tage vor Microsofts Patchday auslief.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…