Die Sicherheitsforscher von Googles Project Zero-Team haben wieder zugeschlagen. Sie haben die Existenz einer Lücke enthüllt, die in Apples macOS-Betriebssystem prangt. Ein Fehler in der Arbeitsspeicherverwaltung kann es Schadsoftware ermöglichen, sich erweiterte Rechte zu verschaffen.

Speicherverwaltung ausgetrickst

Genannt haben die Entdecker die Schwachstelle "BuggyCow", angelehnt an den "Copy-on-Write"-Schutzmechanismus, der dabei umgangen wird. Das Betriebssystem ermöglicht es mehreren Anwendungen gleichzeitig, auf Daten im Arbeitsspeicher zuzugreifen, was eine Belegung des Speichers mit Duplikaten gleicher Datensätze verhindert. Erst wenn eine Anwendung Informationen verändern will, wird zu diesem Zwecke eine Kopie angelegt, damit es bei anderen, mitunter höherrangigen Prozessen nicht zu Fehlern kommt.

In bestimmten Fällen funktioniert das allerdings nicht und es können Daten in veränderter Form neu angelegt werden, ohne dass das System reagiert. Auf diese Weise ist es möglich, Informationen zu ersetzen oder gar Code zur Ausführung durch ein Programm mit erweiterten Privilegien einzuschleusen.

Schwer ausnutzbar

Das Schadpotenzial ist dementsprechend hoch, dennoch wird die unmittelbare Gefährdung der Nutzer als niedrig eingeschätzt. Denn das Ausnutzen des Lecks setzt ein Programm mit entsprechenden Rechten voraus, das das anfällige Verhalten zeigt. Zudem ist ein hohes Maß an technischer Versiertheit gefordert.

Apple ignoriert Leck seit Monaten

Trotz dieser Einschränkungen macht der Fehler für Apple nicht gerade einen schlanken Fuß. Denn das Project Zero-Team hatte das Unternehmen bereits im vergangenen November über die Existenz der Lücke informiert und diese erst vor kurzem, 94 Tage später, öffentlich bekannt gemacht. Herstellern wird für die Behebung von Fehlern eine Frist von zumindest 90 Tagen eingeräumt. Obwohl man drei Monate Zeit gehabt hat, gibt es aber bislang keinen Patch zur Absicherung.

Für Apple setzt sich damit eine unrühmliche Serie fort. Wired erinnert etwa an eine Schwachstelle, mit der man sich einfach durch die Eingabe des Usernamens "root" erweiterte Rechte verschaffen konnte. Dann wurde dank eines anderen Lapsus bei der Passwortabfrage für die Festplattenverschlüsselung das Passwort selbst anstelle des Passworthinweises angezeigt.

Und zuletzt ermöglichte ein Facetime-Fehler das Mithören bei anderen Nutzern, noch bevor diese den Anruf annahmen oder ablehnten. Auch hier war Apple noch vor Bekanntwerden durch die Mutter des 14-jährigen Entdeckers informiert worden, hatte aber lange nicht reagiert. (red, 05.03.2019)