Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Yosemite: root-Rechte für jedermann & wie man sich schützen kann

In OS X 10.10 Yosemite besteht eine schwerwiegende Sicherheitslücke, durch die jeder Nutzer root-Rechte erlangen kann. Erforderlich ist lediglich ein kurzer Terminal-Befehl, wie aus Tweets des Sicherheitsspezialisten Stefan Esser hervorgeht. Der Befehl erlaubt zusammengefasst die Aktivierung eines unbeschränkten öffentlichen root-Zugangs über das sudo-System mittels Anpassung der zugehörigen Konfiguration. Die Lücke besteht grundsätzlich in der Möglichkeit, beliebige Dateien über den Dynamic Linker zu modifizieren. Es ist aber darüber hinaus fraglich, warum Apple es bei sudo überhaupt erlaubt, die Kennwort-Abfrage vollständig auszuschalten.

Esser zufolge wurde Apple nicht im Vorfeld über das Sicherheitsproblem informiert, weil dies in der EU Exportbeschränkungen unterliegt (Dual-Use: ). Lediglich die uneingeschränkte Bekanntmachung ist von EU-Beschränkungen ausgenommen. Apple selbst hat aber die Sicherheitslücke - absichtlich oder zufällig - bereits in der Beta-Version des kommenden OS X 10.11 El Capitan behoben.

Behebung/Schutz
Grundsätzlich kann sich jeder Nutzer und jede App mit Zugang zum System root-Rechte verschaffen. Der Zugriff auf Yosemite sollte daher bis zur Behebung des Sicherheitsproblems ausschließlich vertrauenswürdigen Nutzern und Apps gestattet werden. Fernzugriff/Remote sollte gegebenenfalls ausgestellt werden. Besonders problematisch ist die Situation bei Bildungseinrichtungen und öffentlichen Räumen. Daher hat Esser für Administratoren auch ein Xcode-Projekt veröffentlicht, welches DYLD_-Variablen im Kernel unterbindet: .

Um zu überprüfen, ob das eigene System verwundbar ist, kann man folgende Befehlszeile im Terminal eingeben. Während dies in OS X 10.9 Mavericks zu keiner Datei im Hauptverzeichnis führt, sehen Nutzer in OS X 10.10 Yosemite eine neue Datei mit der Bezeichnung "Das_System_ist_verwundbar". In das Hauptverzeichnis gelangt man beim Finder über ++G, danach / .
Befehlszeile zur Überprüfung
EDITOR=/usr/bin/true DYLD_PRINT_TO_FILE=/Das_System_ist_verwundbar crontab -e

Weiterführende Links:

Kommentare

Hannes Gnad
Hannes Gnad23.07.15 16:17
Nicht gut. Muß Apple schnell abdichten.
0
o.wunder
o.wunder23.07.15 16:25
Also demnächst fix auf das Neuste OS X upgraden. War also doch gut bei Mavericks zu bleiben. Yosemite ist ein Schnellschuss der nicht viel taugt. Es ist nun schon wie bei MS, nur jede zweite OS X Hauptversion ist gut.
0
OpDraht
OpDraht23.07.15 17:05
sb
Es ist aber darüber hinaus fraglich, warum Apple es bei sudo überhaupt erlaubt, die Kennwort-Abfrage vollständig auszuschalten.

Muss man sich das heute noch fragen?
0
hab_auch_nen_apfel23.07.15 17:17
Die können's oder wollen's einfach nicht Dagegen ist ja MS mittlerweile beinahe ein Musterschüler
0
EmptySleve
EmptySleve23.07.15 17:26
Das Problem hier ist weniger »sudo«, sondern vielmehr Apples fragliche Implementierung vom "Dynamischen Linker dyld". ( )
0
Ties-Malte
Ties-Malte23.07.15 17:28
OpDraht

Sag mal, hast du Zugang zu Beweisen, die außer dir sonst niemand hat? Hast du die (ich frage das voller Ehrfurcht) am Ende direkt von Heise?
The early bird catches the worm, but the second mouse gets the cheese.
0
dom_beta23.07.15 17:30
tatsächlich!

funzt
...
0
EmptySleve
EmptySleve23.07.15 17:44
Schade, dass es nicht mehr in 10.11 geht, wäre eine super Abkürzung um Systemdateien zu editieren, ohne extra rootless ausschalten zu müssen.

Aber etwas OffTopic:

Die Datei /etc/sudoers hat bei mir die Rechte -r--r----- (440) und gehört root:wheel.
Wenn ich nun vom Admin-Account cat /etc/sudoers eingebe, bekomme ich ein "cat: /etc/sudoers: Permission denied" als Antwort.

Wenn ich aber sudo cat /etc/sudoers eingebe funktioniert es.
(via sudo -s ist es das Selbe) (war beides zu erwarten)

Wenn ich die Datei mit zB. sudo nano /etc/sudoers editiere, kann ich sie aber auch abspeichern!

Wie kann das sein, wenn die Datei doch schon root:wheel gehört, und selbst root:wheel nur Leserechte (r) hat ?!

Sorry für OffTopic.
0
bambam2523.07.15 18:18
Die Hardware finde ich ja immer noch gut bei Apple zumindest besser als bei so einigen anderen......aber bei der Software fällt einem ja mittlerweile nichts mehr ein
Vermutlich ändert Apple die Qualität der Software erst wieder wenn einige die ......voll haben und wieder zu Windows 10 o.ä. wechseln, das soll ja gar nicht so schlecht sein......
0
macmuckel
macmuckel23.07.15 18:39
Das Melden einer Sicherheitslücke ist ein Export?
0
hab_auch_nen_apfel23.07.15 19:06
Was mich wirklich interessiert ist, ob FreeBSD von den ganzen Fehlern auch betroffen ist oder ob die allein auf Apples Mist gewachsen sind
0
rafi23.07.15 20:25
o.wunder
Also demnächst fix auf das Neuste OS X upgraden. War also doch gut bei Mavericks zu bleiben. Yosemite ist ein Schnellschuss der nicht viel taugt. Es ist nun schon wie bei MS, nur jede zweite OS X Hauptversion ist gut.

Soso. Danke für die Analyse
0
Frost23.07.15 21:35
EmptySleve
und selbst root:wheel nur Leserechte (r) hat ?!

In dem Moment wo man root ist, ist das alles egal.
Root hat immer alle Rechte, sonst koennte man ja alle Rechte
auf einer Datei entfernen und anschliessend diese nie
mehr neu setzen.

Was mich da mehr irittiert, mit sudo wird man ja
unter OS X noch nicht root?
Der root Account sollte dort doch im System
defaultmaessig deaktiviert sein?
0
Hannes Gnad
Hannes Gnad23.07.15 22:35
Frost
Was mich da mehr irittiert, mit sudo wird man ja unter OS X noch nicht root?
Man wird es nicht, aber der damit abgesetzte Befehl läuft im Range von root.
Frost
Der root Account sollte dort doch im System defaultmaessig deaktiviert sein?
root selbst hat kein Kennwort gesetzt und kann nicht direkt angemeldet werden, richtig. Aber das ist eben die Zauberkraft von sudo, damit startet man einen Prozess im Range von root, mit

sudo -s

beispielsweise eine Shell.
0
haschuk24.07.15 00:04
macmuckel
Das Melden einer Sicherheitslücke ist ein Export?

Im weitesten Sinne tatsächlich ja, da Technologietransfer. Da aber Apple in USA sitzt und allgemeine Betriebssysteme nicht als überwachungsbedürftig nach Dual Use angesehen werden, da sonst z. B. Linux Distris nicht frei auf Uni-ftp-Servern mit anonymous-Zugang liegen dürften, ist ein allgemeiner Export ohne Antrag in die USA möglich.

Das Melden einer Sicherheitslücke in der Steuersoftware einer Zentrifugenanlage ist tatsächlich nach Dual Use durch die BAFA genehmigungspflichtig. Die BAFA wird dem Export/Meldung in die USA zustimmen, nach Russland evtl. auch noch, garantiert aber nicht der Meldung in den Iran.
0
blubblablax
blubblablax24.07.15 07:32
Langsam wird es wohl Zeit für eine Hit-Liste der dümmsten Sicherheitslücken in ex-NextSTEP. Als ob "goto fail;goto fail;" noch nicht blöd genug war. (Programmierfehler macht jeder aber in der größten IT-Firma der Welt sollte es so etwas wie QA geben.)
|-o-| <o> |-o-| ...The force is strong with this one...
0
Stresstest24.07.15 08:18
EmptySleve
Wenn ich aber sudo cat /etc/sudoers eingebe funktioniert es.
(via sudo -s ist es das Selbe) (war beides zu erwarten)

Dann fragt er aber trotzdem beim ersten mal nach dem Benutzerpasswort!
Wenn du für sudo das PW einmal eingegeben hast dann wird es beim nächsten mal nicht wieder abgefragt sondern sudo einfach so ausgeführt ohne PW-Abfrage. Das ganze wird erst wieder nach einer Timeout Zeit von 5min abgefragt. Heißt: Wenn du innerhalb von 5min weitere sudo-Befehle ausführst, dann wird die Zeit auf 5min zurück gesetzt. Wenn du irgendwann mal 5min keinen sudo Befehl ausführst, musst du beim nächsten dein PW nochmals eingeben und der Counter läuft wieder von 5min runter.
Weitere Infos zu sudo auf der Apple Developer Seite:

Wenn du das Terminal nochmals komplett schließt, und dann die Datei per sudo editieren willst, dann wirst du auch erstmal wieder nach dem Benutzer-PW gefragt.

Von daher erstmal alles so wie es sein soll

Aufpassen muss man dabei nur, wenn man wirklich einen sudo Befehl ausgeführt hat, und in den nächsten Minuten jemand physikalischen Zugriff auf den Computer bekommt und in dem geöffneten Terminalfenster sudo Befehle ohne Passwort ausführen kann.
0
martinmacco24.07.15 09:18
Vielleicht bin ich ja zu blöd - aber bei mir erscheint keine neue Datei! Yosemite 10.10.4
0
maybeapreacher
maybeapreacher24.07.15 12:06
Als langjähriger FreeBSD Nutzer kann ich Dir sagen: Nein, die meisten Fehler die Macs bedrohen sind auf Apples Mist gewachsen. von der FreeBSD Basis ist nicht mehr viel da und das was da ist ist meist hoffnungslos veraltet...
hab_auch_nen_apfel
Was mich wirklich interessiert ist, ob FreeBSD von den ganzen Fehlern auch betroffen ist oder ob die allein auf Apples Mist gewachsen sind
0
chessboard
chessboard24.07.15 13:17
Wahrscheinlich verstehe ich zu wenig von der Materie, aber mir ist nicht so ganz klar, ob diese Sicherheitslücke jetzt einen physischen Zugang zum Rechner voraussetzt oder auch über Schadsoftware, die absichtlich oder unabsichtlich heruntergeladen wurde, ausgenutzt werden kann.

(BTW: Besteht für OS X eigentlich die Gefahr des Herunterladens und Ausführens von Schadsoftware ohne jegliches Zutun und ohne Kenntnis des Benutzers (Drive-By-Infektion)?)
0
MacBelwinds
MacBelwinds24.07.15 13:17
Das Skript von Esser scheint zu funktionieren, es werden keine Dateien mehr ins Hauptverzeichnis geschrieben. Danke!
0
Moogulator
Moogulator24.07.15 13:51
Ich finde es generell nicht gut, dass Apple "ältere" Betriebssysteme offenbar nicht pflegt. Sie müssen schon damit rechnen, dass Leute auf älteren Systemen arbeiten, weil manches eben mit dem neuen OS nicht mehr klappt. Das sind freilich nicht die Officeuser, aber eine wichtige und tragende Klientel.

Zu offensichtliche "Semiobsoleszenz" und fehlende Nachhaltigkeit kann sich sehr negativ auswirken.
Das gilt auch für Updatepolitik bei Apps - die ja schneller veralten. Ein klarer Nachteil,wenn ein System oder OS für so etwas bekannt ist.
Ich habe eine MACadresse!
0
dom_beta24.07.15 14:40
Moogulator

+ 1000 !
...
0
Hannes Gnad
Hannes Gnad24.07.15 17:51
Moogulator
Ich finde es generell nicht gut, dass Apple "ältere" Betriebssysteme offenbar nicht pflegt.
Das tut Apple schon, auch wenn es dazu offiziell leider keine "Lifecycle Policy", "OS Support Roadmap" oder vergleichbares gibt. Man kann nur aus Vergangenheit und Gegenwart ableiten, daß das aktuelle OS X und die zwei Vorgänger laufend Sicherheitsaktualisierungen erhalten, ergo wird mit dem Erscheinen von 10.11 der Support von 10.8.5 wohl aufhören.

Ein anderes Thema ist die Frage, ob bei den älteren OS alle (bekannten) Löcher gestopft werden - es gibt offensichtlich Fälle, in denen das zu aufwendig oder gar unmöglich scheint, und dann bleiben sie eben offen...
Moogulator
Sie müssen schon damit rechnen, dass Leute auf älteren Systemen arbeiten, weil manches eben mit dem neuen OS nicht mehr klappt.
Das tut Apple.
Moogulator
Das sind freilich nicht die Officeuser, aber eine wichtige und tragende Klientel.
Naja, vielleicht hält Apple die Leute, die nicht aktualisieren, nicht gerade für die, die regelmäßig viele neue Dinge kaufen.
Moogulator
Das gilt auch für Updatepolitik bei Apps - die ja schneller veralten. Ein klarer Nachteil,wenn ein System oder OS für so etwas bekannt ist.
Bei den Apps passiert ja weitgehend das gleiche wie beim OS: Rolling Releases, ständiger Flow von Aktualisierungen...
0
nr2
nr224.07.15 21:26
Moogulator

+ 1000

Snow Leo ist nach wie vor noch mein treuester Begleiter...
0
Hannes Gnad
Hannes Gnad25.07.15 00:03
Ah, und sich dann am Thema Sicherheit reiben?

10.6.8 hat DUTZENDE ungepatchte bekannte Löcher - und jede Menge Bugs...

0
tix
tix25.07.15 00:22
EmptySleve
Das Problem hier ist weniger »sudo«, sondern vielmehr Apples fragliche Implementierung vom "Dynamischen Linker dyld". ( )

Funzt!
+1
0
hab_auch_nen_apfel25.07.15 07:56
maybeapreacher
Danke! Gut zu wissen, dass es mit FreeBSD noch eine Alternative gibt. Dumm nur, dass ich für meine Software bezahlt habe, sonst wäre ich bestimmt schon längs weg
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.