Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitslücke in macOS umging Quarantäne

Standardmäßig sind auf dem Mac nur noch Apps ausführbar, welche entweder aus dem Mac App Store heruntergeladen wurden oder über eine gültige Signatur inklusive Notarisierung verfügen. Im Falle von Malware kann Apple in beiden Fällen ein Starten der App ohne Betriebssystem-Update verhindern, sodass eine infizierte App keinen Schaden mehr anrichten kann. Momentan ist es auch noch über Umwege möglich, nicht signierte Apps zu starten – doch es ist davon auszugehen, dass Apple diese Option in kommenden macOS-Versionen streicht, um die Sicherheit zu erhöhen.


Lädt der Nutzer ein ZIP-Archiv oder ein DMG mit einem Programm aus dem Internet herunter, markiert macOS die App automatisch mit einem sogenannten Quarantäne-Merkmal. Dies ist das Kommando für Gatekeeper, das Programm vor dem Starten auf Gültigkeit der kryptografischen Signatur zu überprüfen und den Nutzer zu fragen, ob er das Starten erlaubt. Daraufhin wird die Quarantäne-Markierung entfernt und bei künftigen Starts erspart sich Gatekeeper die Überprüfung.

Microsoft findet Sicherheitslücke
Im Juli 2022 fand die Sicherheitsabteilung von Microsoft eine Lücke bei der Überprüfung von Apps in macOS, welche raffiniert einen weiteren Mechanismus ausnutzt. Über ein bestimmtes Metadaten-Format namens "AppleDouble" ist es möglich, Zusatzinformationen in ZIP-Archiven oder DMG-Dateien zu speichern, welche unter anderem auch Access-Control-List-Informationen beinhalten können. Bei Access-Control-Lists (kurz ACLs) handelt es sich vereinfacht gesagt um erweiterte Informationen, welcher Nutzer wie auf Dateien zugreifen kann.

Sobald Safari oder ein anderes Programm eine App aus einem ZIP-Archiv entpackt hat, fügt dies automatisch der App das Quarantäne-Merkmal hinzu, sodass Gatekeeper beim ersten Start tätig wird. Microsoft aber gelang es, spezielle Metadaten im "AppleDouble"-Format zu erzeugen, welche mit im ZIP-Archiv gespeichert sind und ACLs beinhalten. Diese erlauben zwar das Ausführen des Programms, nicht jedoch das Setzen des Quarantäne-Merkmals. So konnten unsignierte Apps auf den Mac gelangen und gestartet werden, ohne dass Gatekeeper diese jemals überprüft hat.

Sicherheitslücke mittlerweile geschlossen
Die unter der Nummer CVE-2022-42821 gehandelte Lücke wurde von Apple mittlerweile geschlossen. Hat der Nutzer macOS 13 Ventura, macOS 12.6.2 Monterey oder macOS 11.7.2 Big Sur installiert, können ACLs nicht mehr das Setzen der Quarantäne-Informationen verhindern und Gatekeeper unterzieht die heruntergeladene App dem normalen Prüf-Verfahren. Für macOS Catalina oder noch frühere Informationen steht aber anscheinend kein Fix dieser Lücke bereit.
Erwartetes Oktober-Event: Die wahrscheinlichen Neuerungen der Mac- und iPad-Veranstaltung
Erwartetes Oktober-Event: Die wahrscheinlichen ...
iPhone 16: Welche Netzteile schnelles Laden versprechen
iPhone 16: Welche Netzteile schnelles Laden ver...
Daten zum Mac mini M4: Aufpreise, Spezifikation und Vergleich mit Mac mini M2
Daten zum Mac mini M4: Aufpreise, Spezifikation...
Ohne Abo: Microsoft veröffentlicht Office 2024 für den Mac
Ohne Abo: Microsoft veröffentlicht Office 2024 ...
Musikbranche verklagt KI-Anbieter
Musikbranche verklagt KI-Anbieter
iPhone 16 Pro in Einzelteilen – Details zum Aufbau und zum neuen Modem
iPhone 16 Pro in Einzelteilen – Details zum Auf...
AirPods Max: Warum so wenig Innovation?
AirPods Max: Warum so wenig Innovation?
Vor 15 Jahren: Als der iMac riesig wurde
Vor 15 Jahren: Als der iMac riesig wurde

Kommentare

Perry Goldsmith
Perry Goldsmith21.12.22 11:28
Artikel:
Momentan ist es auch noch über Umwege möglich, nicht signierte Apps zu starten – doch es ist davon auszugehen, dass Apple diese Option in kommenden macOS-Versionen streicht, um die Sicherheit zu erhöhen.

Gänzlich wird Apple das hoffentlich nicht streichen, denn für Entwickler ist es nicht immer praktisch eine Notarisierung durchzuführen, nur um mal schnell ein kleines Test-Programm auf einer anderen Maschine laufen zu lassen, die vielleicht nicht einmal Internet-Zugriff hat. Das wäre schon sehr ungünstig.

Ich meine in XCode geht das mit dem Notarisieren zwar vergleichsweise schnell, aber manche Tools sind eben nicht so leicht in die Apple-Toolchain zu integrieren.
0
macparc
macparc21.12.22 11:38
Perry Goldsmith
Gänzlich wird Apple das hoffentlich nicht streichen, denn für Entwickler ist es nicht immer praktisch eine Notarisierung durchzuführen, nur um mal schnell ein kleines Test-Programm auf einer anderen Maschine laufen zu lassen, die vielleicht nicht einmal Internet-Zugriff hat. Das wäre schon sehr ungünstig.

Ich meine in XCode geht das mit dem Notarisieren zwar vergleichsweise schnell, aber manche Tools sind eben nicht so leicht in die Apple-Toolchain zu integrieren.

Lokale Tests erzeugen kein Quarantäne-Flag und benötigen deshalb auch keine Signatur und keine Notarisierung.
+1
gritsch21.12.22 13:59
macparc
Lokale Tests erzeugen kein Quarantäne-Flag und benötigen deshalb auch keine Signatur und keine Notarisierung.

Es geht aber nicht nur darum.
Denn dieses Flag kann der User aus der Datei entfernen und schon wäre die nicht-signierte SW wieder startfähig.
Es gibt aber auch jede menge Software die nie signiert werden wird/kann (Stichwort homebrew etc).
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.