Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitslücke im macOS-Schlüsselbund: Entdecker übermittelt Apple einen Patch

Im Schlüsselbund von macOS klafft eine Sicherheitslücke. Darüber informierte der Entdecker Linus Henze Apple bereits vor vier Wochen. Allerdings gab er die Details zunächst nicht preis, da Cupertino keine Belohnungen für das Melden von Schwachstellen im Desktop-Betriebssystem zahlt. Jetzt hat er ein Einsehen: Im Interesse der Anwender schickte Henze dem kalifornischen Hersteller genaue Informationen und sogar einen Patch.


Auslesen aller Passwörter möglich
Die Schwachstelle ermöglicht unter macOS Mojave bis hin zur aktuellen Version das Auslesen aller im lokalen Schlüsselbund gespeicherten Passwörter. Bislang hat Apple noch kein Update veröffentlicht, mit dem das Leck geschlossen wird. Linus Henze hatte die Existenz der Lücke zwar auf Twitter bekanntgegeben, gleichzeitig aber bemängelt, dass Cupertino im Unterschied zu anderen Herstellern kein Bug-Bounty-Programm für macOS anbietet. Weil er daher nicht mit einer Belohnung rechnen könne, wolle er Apple keine Details zur Verfügung stellen und so öffentlich gegen das Fehlen eines Belohnungssystems protestieren.


Eines der Schreiben von Linus Henze an Apple

Sinneswandel beim Entdecker
Vor wenigen Tagen allerdings gab es offenbar einen Sinneswandel: Henze schickte eigenen Angaben zufolge die technischen Einzelheiten zu dem von ihm "OhBehaveHack" genannten Fehler im Schlüsselbund an Apple. Außerdem sandte er dem Unternehmen einen Patch - kostenlos, wie er in seinem Tweet betont. Das geschehe im Interesse der macOS-Anwender, die nicht unter Apples Verhalten leiden sollten. Die Betriebssystem-Entwickler in Cupertino dürften somit jetzt in der Lage sein, den Fehler endlich zu beheben und ein Update zur Verfügung zu stellen.

Fehlen eines Bug-Bounty-Programms wird kritisiert
Dass Apple lediglich für iOS, aber nicht für macOS ein Bug-Bounty-Programm anbietet, stößt seit geraumer Zeit bei etlichen Sicherheitsforschern auf Kritik. Andere Software- und Hardwarehersteller wie beispielsweise Microsoft, Google oder Facebook verfügen über solche Belohnungssysteme und schütten zum Teil hohe Summen an die Entdecker von Schwachstellen aus.
Gegenüberstellung: AirPods 4 vs. AirPods Pro 2
Gegenüberstellung: AirPods 4 vs. AirPods Pro 2
Mac mini M4: Reparaturhandbuch bestätigt austauschbare SSD +++ Angaben zum Stromverbrauch
Mac mini M4: Reparaturhandbuch bestätigt austau...
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Test AirPods Pro 2
Test AirPods Pro 2
Mac mini M4
Mac mini M4
Musikbranche verklagt KI-Anbieter
Musikbranche verklagt KI-Anbieter
Vor 10 Jahren: 3 Milliarden für Beats
Vor 10 Jahren: 3 Milliarden für Beats
iPhone 16 Pro: Tippen oder Wischen ignoriert, Nutzer melden Touchscreen-Fehlverhalten
iPhone 16 Pro: Tippen oder Wischen ignoriert, N...

Kommentare

struffsky
struffsky04.03.19 15:20
Danke, Linus! Und Apple: setzen, sechs.
+11
ruphi
ruphi04.03.19 15:41
Wie blöd oder abgehoben kann man als Konzern eigentlich sein, sogar noch die Leute vor den Kopf zu stoßen, die sich schon freiwillig mit Sicherheitslücken an Apple wenden statt an Firmen wie Cellebrite, GrayKey oder die eine oder andere autoritäre Regierung?
+14
dan@mac
dan@mac04.03.19 16:09
Ich vermute das ist da irgendwo untergegangen bei einen der vielen Mitarbeitern, die die unzähligen Anfragen pro Tag bearbeiten.
-3
nacho
nacho04.03.19 16:44
Da zeigt sich mal wieder der Apple Geiz und der Stellenwert von MacOS.
+8
Dante Anita04.03.19 17:13
Leider scheint das Apple langsam Strategie zu werden. Reagiert wird erst, wenn der mediale Druck groß genug wird. Aber wenn Privatleute schon einen fertigen Patch übermitteln müssen damit sie bei Apple Aufmerksamkeit erregen, dann wird’s langsam echt traurig.

Vielleicht könnte jemand einen Bauplan für einen MacPro an Apple senden, dann wird das heuer auch noch was 😩
+8
My2Cent04.03.19 17:14
Es erscheint mir auch möglich, dass Linus Henze doch eine Belohnung von Apple erhalten hat, dass aber Stillschweigen vereinbart wurde.
-1
MäcFlei
MäcFlei04.03.19 18:25
Hm, das müsste dann aber so hoch gewesen sein, dass er lügt. Und ob sie ihm sooo viel bezahlt haben und er sich darauf eingelassen hat ...

Wohl abhängig von seiner wirtschaftlichen Lage.
+2
rosss04.03.19 18:27
Ich bin mal gespannt, ob das „Apple Security Team“ den Hinweis und den Patch ans „macOS-Team“ weiterleitet. Oder erst einmal unter „gelesen“ abgelegt hat.

In letzter Zeit habe ich vermehrt den Eindruck, die beiden Abteilungen mögen sich nicht…
+3
sierkb04.03.19 22:04
Dante Anita
Leider scheint das Apple langsam Strategie zu werden. Reagiert wird erst, wenn der mediale Druck groß genug wird.

Passend dazu ebenfalls von heute:

heise (04.04.2019): Frist verstrichen: Google enthüllt ungepatchte Schwachstelle im macOS-Kernel
Apple hat einen Bug in XNU nach 90 Tagen nicht beseitigt, nun wurden Details veröffentlicht. Googles Project Zero stuft die Schwere der Lücke als "hoch" ein.
heise, 04.03.2019
Sicherheitsforscher von Googles Project Zero haben Informationen zu einer Mac-Sicherheitslücke preisgegeben, die Apple bislang nicht gestopft hat. Das Copy-On-Write-Verhalten des XNU-Kernels von macOS weise einen sicherheitsrelevanten Fehler auf, heißt es. Die Schwere der Lücke wird als "hoch" eingestuft.

Bug im XNU-Kernel, Risikostufe "hoch"

Ein Angreifer sei damit in der Lage, eine Datei auf einem Speicherabbild zu manipulieren: MacOS erlaubt normalen Nutzern, Image-Dateien zu mounten, merkt der Entdecker der Lücke im Monorail-Bugtracker an. "Wenn ein geöffnetes Speicherabbild direkt verändert wird, werden diese Informationen nicht an das gemountete Dateisystem weitergegeben".

Die Lücke dürfte sich für eine lokale Rechteausweitung ausnutzen lassen, vermuten Entwickler – und macOS bis hin zur aktuellen Version 10.14 Mojave betreffen. Ein zusammen mit dem Bug-Details veröffentlichter Proof of Concept soll das Problem demonstrieren .

Responsible Disclosure mit 90-Tages-Frist

Die Schwachstelle wurde Ende November 2018 an Apple gemeldet und nun – nach Ablauf der bei Googles Project Zero üblichen 90-Tages-Frist – für die Öffentlichkeit freigegeben. Man stehe bezüglich der Lücke in Kontakt mit Apple, bislang gibt es aber keinen Fix, heißt es im Bugtracker. Der Mac-Hersteller wolle das Problem aber mit einem kommenden Update beseitigen, man arbeite gemeinsam "an den Optionen für einen Patch". Weitere Details sollen zu einem späteren Zeitpunkt genannt werden.
[…]

Google Project Zero: Issue 1726: XNU: copy-on-write behavior bypass via mount of user-owned filesystem image
+6
FlyingSloth
FlyingSloth05.03.19 05:55
"Jetzt hat er ein Einsehen"...
Ihr schreibt das so, als ob sich der Entdecker eines Fehlverhaltens schuldig gemacht hat und nicht Apple!
Fly it like you stole it...
+7
Weia
Weia05.03.19 09:01
FlyingSloth
"Jetzt hat er ein Einsehen"...
Ihr schreibt das so, als ob sich der Entdecker eines Fehlverhaltens schuldig gemacht hat und nicht Apple!
Über Apples indiskutables Verhalten brauchen wir nicht zu reden, aber quasi die Gesamtheit der Mac-Nutzer in Geiselhaft zu nehmen, bis Apple Knete rüberwachsen lässt, fand ich auch nicht die feine englische Art.
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
0
sierkb05.03.19 09:33
Weia:

Apple praktiziert doch selber nicht die feine engliche Art bzw. hat sie gar nicht verdient bzw. lange genug ist man mit Apple viel zu nachsichtig und immer wieder verzeihend umgegangen, lässt ihnen Einiges durchgehen, während sie sich alles andere als fein oder gar dankbar benehmen. Apple nimmt seine Nutzer in Geiselhaft bzw. sie sind ihnen offenbar wurscht. Das ist eine noch viel weniger feine englische Art. Sie zahlen ja grundsätzlich nicht oder kaum was, selbst denen im Bug-Bounty-Programm, sebst die laufen ihrem Geld ja her, u.a. auch Ian Beer von Googles Project Zero Team, auch sie tun das alle offenbar aus altruistischen Motiven heraus und aus einem Verantwortungsgefühl heraus, das Apple ganz offenbar abhanden gekommen ist. Das was Henze da gemacht hatte zuvor war ein Hilfeschrei, ein Weckruf an Apple zu mehr Verantwortung! Wie sonst, wenn nicht so ist Apple denn beizukommen? Das was henze gemacht hat, war/ist vor dem Hintergrund schon die feine englische Art – er hätte es auch bleiben lassen können, den Mund halten können, es gar nicht erst mitteilen können, was er weiß und Apple und die Nutzer ins offene Messer laufen lassen. Hat er aber nicht getan. Weder vor ein paar Wochen. Noch jetzt.

Oder liegt dem Ganzen mögliclherweise zu Grunde, dass macOS so dermaßen voller Fehler ist, dass es Apple peinlich werden könnte, wenn sie sich diesbzgl. per Bug Bounty öffneten und damit animieren, nach noch mehr Fehler zu suchen und diese dann erst recht reihenweise zutage gefördert würden? Ist das möglicherweise der wahre Grund, warum es bei macOS kein Bug-Bounty-Programm gibt?
0
Weia
Weia05.03.19 09:45
sierkb
Apple praktiziert doch selber nicht die feine engliche Art
Da gebe ich Dir wie schon geschrieben doch vollkommen recht.

Ich teile eben nur nicht die Logik, dass Verfehlungen der einen Seite Verfehlungen der anderen rechtfertigen. Dieses Wie Du mir, so ich Dir mag ich nicht, weil es ein Patentrezept für Eskalation ist.
Das was Henze da gemacht hatte zuvor war ein Hilfeschrei
Kann man so sehen. Kann aber auch ein 18-jähriger gewesen sein, der sich verdammt cool vorkam.

Bei Fehlern, die ich gefunden habe, habe ich die einfach still und leise, ohne öffentliche Verlautbarung oder Forderungen meinerseits, Apple mitgeteilt, und siehe da, sie wurden, wenn kritisch, meist rasch behoben. Da entsteht dann über die Jahre auch eine gewisse Vertrauensbasis, die bei sowas hilfreich ist.
Oder liegt dem Ganzen mögliclherweise zu Grunde, dass macOS so dermaßen voller Fehler ist, dass es Apple peinlich werden könnte, wenn sie sich diesbzgl. per Bug Bounty öffneten und damit animieren, nach noch mehr Fehler zu suchen und diese dann erst recht reihenweise zutage gefördert würden?
Da fällt es mir leider schwer, Dir zu widersprechen.
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
+3
Dicone
Dicone05.03.19 10:30
Das erschreckende am Schlüsselbund ist leider auch, das mit dem Adminlogin (bei mir eher ein schnell zu tippendes pw wegen permanentem login) alle accounts einsehbar sind... einige benutzen ja die spacetaste als pw für den login... wie schütze ich das besser? In dem ich admin und user account trenne?
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.