Die Kernel Extensions von macOS, auch bekannt als Kext, sind bekanntlich ein Auslaufmodell. Bereits seit einiger Zeit müssen diese im Kernelspace laufenden Erweiterungen von Apple beglaubigt sein, um auf einem Mac zu laufen. Der kalifornische Konzern hat zudem mehrfach mitgeteilt, dass er sie als abgekündigt einstuft und ihre Unterstützung irgendwann komplett einstellen wird.


Schwachstellen in Kext können System kompromittieren
Dieser Zeitpunkt scheint nun schnell näher zu rücken. Apple hat nämlich jetzt den "Platform Security Guide" ( PDF-Datei) für sämtliche hauseigenen Betriebssysteme, also macOS 11, iOS/iPadOS 14, tvOS 14 und watchOS 7, aktualisiert. Darin geht der kalifornische Konzern unter anderem auch ausdrücklich auf die Kernel Extensions ein. Diese liefen im Kernelspace, so Apple, Schwachstellen in den Erweiterungen könnten daher das gesamte System kompromittieren. Die Extensions stellen also eine erhebliche Gefahr dar. Entwickler fordert Apple nachdrücklich auf, so bald wie möglich auf Systemerweiterungen umzusteigen, welche im Userspace laufen, und zwar "bevor der Kext-Support bei zukünftigen Macs mit Apple Silicon endgültig aus macOS entfernt wird."

Apple stellt alternative Schnittstellen bereit
Um den Umstieg auf Systemerweiterungen zu ermöglichen und zu erleichtern, hat Apple in den vergangenen Jahren einige Schnittstellen bereitgestellt, welche die Funktionen der Kernel Extensions überflüssig machen. Dazu gehören unter anderem Funktionen für Virenscanner, welche aus der früheren KAUTH-API in die Endpoint Security API gewandert sind. Firewall-Features stellen die Network Extensions bereit. Geräte- und Audiotreiber können statt IOKit das DriverKit und die CoreAudioPlugins nutzen.

Erheblicher Sicherheitsgewinn durch Systemerweiterungen
Der Umstieg von Kernel Extensions auf Systemerweiterungen stellt einen erheblichen Sicherheitsgewinn dar. Da letztere lediglich über die für ihre Ausführung erforderlichen Rechte verfügen, können sie in aller Regel ohne Weiteres keinen Schaden in den Tiefen des System anrichten. Das kommt sowohl der Sicherheit als auch der Stabilität von macOS zugute. Auf Mac mini M1, MacBook Pro M1 und MacBook Air M1 lassen sich Kernel Extensions standardmäßig bereits nicht mehr ausführen. Wer sie nutzen will, muss beim Starten des Rechners im One True Recovery Mode die Systemsicherheit herabsetzen und die Nutzung von Kernel Extensions ausdrücklich erlauben. Hierzu ist die Eingabe eines Administrator-Passworts erforderlich.

Weitere Ergänzungen und Aktualisierungen
Apple hat im Platform Security Guide zudem zahlreiche weitere Aktualisierungen und Ergänzungen vorgenommen. Zu den hinzugekommenen Themen gehören unter anderem Erläuterungen zum Bootprozess auf Macs mit Apple Silicon und Sicherheitsaspekte im Zusammenhang mit IPv6. Updates gibt es etwa in den Abschnitten über die Secure Enclave, FileVault, die System Integrity Protection (SIP) und die Empfehlungen zur Passwort-Sicherheit. Allerdings würden im Falle kompletter Abschaffung von Kernel Extensions diverse Schnittstellen fehlen, denn für einige Funktionen bietet Apple eben keine Alternativen im Userspace.