News & Rumors: 4. August 2015,

OS X Yosemite: Sicherheitslücke erlaubt Malware-Installation

MacBook Pro 15
MacBook Pro 15 mit OS X Yosemite

Eine Sicherheitslücke in OS X 10.10 Yosemite erlaubt die Installation von Malware. Nachdem IT-Forensiker eine Sicherheitslücke gefunden hatten, gibt es erste Malware, die diese ausnutzt.

Der Installer für die Malware macht Gebrauch von einem Lücke im Fehlerprotokollierungssystem Apples, das erst mit OS X Yosemite geändert wurde. Die Lücke ist in OS X 10.10.4 noch vorhanden und nun wurde von Malwarebytes die erste Schadsoftware entdeckt, die Gebrauch von ihr macht. Hacker können darüber Administrationszugriff erhalten, indem sie zunächst die „sudoers“-Konfigurationsdatei manipulieren, in der eingetragen ist, wer welche Dateien mit welchen Rechten ausführen kann. Dazu genutzt wird der Befehl dyld_print_to_file.

Das Script, das die Manipulation in Gang setzt, wird als Datei auf die Festplatte geschrieben, ausgeführt und später gelöscht. Es nutzt währenddessen den VSInstaller, um Software zu installieren, darunter auch MacKeeper aber auch die App „Download Shuttler“ aus dem Mac App Store.

Die Lücke wurde im Juli im vergangenen Monat durch Stefan Esser publik gemacht, der von sich aus einen Patch bereitstellt (SUIDGuard). Apple hat die Lücke bislang noch nicht geschlossen.

Artikel bewerten

Ähnliche Beiträge

iTunes-Backups für iOS 10 lassen sich viel leichte... Es hat durchaus seinen Reiz, die Daten des iPhones mit iTunes (statt mit iCloud) zu sichern. Wenn die Verschlüsselung aktiviert wird, werden Passwörte...
iPhone 7: Nachfrage hoch, für Verkaufsrekord wird ... Es ist beinahe egal, wen man fragt: Das iPhone 7 genießt eine hohe Nachfrage. Dazu reicht bereits ein Blick in die Lieferzeiten im Apple Store, aber m...
Apple arbeitet an Prototyp für Siri-Lautsprecher Berichten zufolge testet Apple derzeit einen ersten Lautsprecher-Prototypen, der mit Sensoren zur Gesichtserkennung ausgestattet ist. Genau wie bei Am...
Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.






Zuletzt kommentiert



 5 Kommentar(e) bisher

  •  gbkom (5. August 2015)

    Leider findet sich nirgendwo ein Hinweis, wie dieser Installer auf den Mac kommt! Bei Heise wird nur von einem Disk-Image gesprochen, in anderen Quellen gibt es (wie hier) gar keinen Hinweis.

    IMHO kann Safari (oder jeder andere Browser) keine Text-Datei auf die Platte schreiben und anschließend als Script ausführen. Also muss der Benutzer „irgendwas“ runterlasen und starten. Oder?

    Weiß jemand Näheres?

  •  Alexander Trust (5. August 2015)

    @gbkom: Also die allermeisten Browser erlauben das temporäre Schreiben von Dateien. Doch es funktioniert gar nicht auf diese Weise. Denn die manipulierten Inhalte nutzen eine Lücke im Logsystem von Yosemite. Öffne einfach am Mac mal die Konsole. Darin sind dutzende Logs, von Abstürzen von Programmen, von dem, was gerade so am Mac passiert, uvm. Es gibt bei Unix-Systemen dutzende Logfiles für unterschiedliche Zwecke. Nun und weil es in dem System, wie es Apple seit OS X Yosemite verändert hat, eine Lücke gibt, kann man über das Logsystem die sudoers-Datei manipulieren. Darin wird jedoch auch das Recht zum Schreiben und Ändern von Dateien systemweit manipuliert. Erst wenn er das getan hat, kann der Angreifer so viele Dateien schreiben, wie er mag. Im Detail kenn ich mich damit nicht aus. Nur gibt es quasi derzeit keine Rückversicherung, ob der Befehl dyld_print_to_file tatsächlich die sudoers-Datei verändern dürfte.

  •  gbkom (6. August 2015)

    Hallo Alexander,
    mit Terminal und Konsole kenn‘ ich mich aus und was man mit dyld_print_to_file alles anstellen kann, ist mir klar. Nur: Wie läuft der Angriff konkret ab? Wo ist das Einfallstor? Bisher ist es ja nicht möglich, eine Malware ohne Interaktion des Benutzers zu installieren.

    Und da schweigen sich alle Quellen aus. Wenn ich also erstmal irgendeinen Installer auf irgendeinem Image herunterladen und starten/installieren muss, dann hab‘ ich selbst Schuld.

    Wenn es aber (wie z. B. Bei der Thunderbolt-Lücke) ohne mein Zutun abläuft, dann ist es wirklich gefährlich.

    Weißt Du da mehr?

  •  gbkom (6. August 2015)

    Hab gerade einen Kommentar von Thomas Reed gefunden: Das ganze funktioniert nur, wenn ein kompromittierter Installer gestartet wird. Also kein Drive-by.

    Außerdem ist der neue Build von 10.10.5 nicht mehr anfällig — Apple hat also scheinbar reagiert.

    Sofern man nicht jeden Blödsinn installiert, kann also nicht viel passieren.

  •  Alexander Trust (6. August 2015)

    @gbkom: Hast du vielleicht noch einen Link zu diesem Kommentar? Vielleicht interessiert das noch weitere Leser.


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>