Kritische Sicherheitslücken in Mac OS X

Tom Ferris von Security-Protocols hat mehrere kritische Sicherheitslücken in Mac OS X 10.4.6 gemeldet, für die Apple bislang noch keine Patches zur Verfügung gestellt hat. In insgesamt sechs Fehlerberichten beschreibt Ferris die Lücken, mit denen sich im einfachsten Fall das System zum Absturz bringen lässt. Im schlimmsten Fall kann ein Angreifer laut der Berichte eigenen Maschinencode einschleusen und mit den Rechten des Anwenders starten. Dazu genügt es, präparierte Bilder im BMP-, GIF- oder TIFF-Format zu öffnen. Bei den GIF-Bildern soll schon der Besuch einer präparierten Seite mit Safari ausreichen, um etwa einen Trojaner untergeschoben zu bekommen. Die Lücken bei der Verarbeitung dieser Bildformate sind allesamt auf Heap Overflows zurückzuführen. Ferris führt in seinen Advisories Links zu Proof-of-Concept-Codes auf, die die Probleme demonstrieren sollen.

Anzeige

Auch das Öffnen von ZIP-Dateien unbekannter Herkunft kann in nächster Zeit für Mac-Anwender zur Mutprobe werden. Ein Doppelklick auf ein manipuliertes Archiv führt zum Absturz des BOM ArchiveHelper -- oder zum Starten des im Archiv versteckten Schadcodes. Auch dieser Fehler beruht auf einem Heap Overflow. Darüber hinaus berichtet Ferris von drei Schwachstellen im Browser Safari 2.0.3 (und früheren Versionen) bei der Verarbeitung von HTML-Tags, die zum Absturz des Browsers führen. Laut Fehlerbericht soll sich darüber auch Code einschmuggeln lassen, allerdings führen die Demo-Exploits bislang nur zum Absturz des Browsers. Apple ist über alle Fehler informiert, teilweise sogar seit Anfang Januar.

Beim Suchen und Finden der Schwachstellen hat sich Ferris unter anderem der zur Zeit in Mode kommenden Fuzzing-Methode bedient. Dabei erzeugen spezielle Tools für Bildformate und Protokolle fehlerhafte Daten und füttern eine Anwendung so lange, bis ein Fehler auftritt. Anschließend wird dieser Fehlerfall mit einem Debugger genauer unter die Lupe genommen, um zu sehen, worauf er zurückzuführen ist und ob er sich irgendwie missbrauchen lässt. Allerdings verlieren sich dann viele der "Security Researcher" in vage Angaben zum Risiko und zur Ausnutzbarkeit der Fehler, was unter anderem auch zum Streit mit den Herstellern führen kann, wenn es um die Dringlichkeit eines Updates geht. Eine DoS-Schwachstelle ist eben in der Regel weniger kritisch als ein Loch zum Einschleusen von Code.

"s"

Was ist daran eigentlich so neu?

zB latestpics.gz kam doch schon im Februar auf. Die Methoden die hier eingesetzt werden sind doch die gleichen, oder nicht?

lg
Gerald

Was mich interessiert: sind da also auch die Bugs (Lücken?) dabei, die ich schon einmal hier erwähnte?

@Dieter: Vorsicht beim Kopieren ganzer Meldungen! Da kann mtn Probleme mit heise bekommen, besser nur den Link angeben -- reicht ja i.A. aus.

Wie man auf fscklog nun lesen kann, ist Apple zumindest dran:



Original C|Net-Artikel:

Es ist normal, daß Programme vom System beendet werden, wenn sie aufgrund unerwarteter Eingaben versuchen Unerlaubtes zu tun. Was da alles als Sicherheitsproblem verkauft wird, ist teilweise recht albern.

Der Beitrag hier gefällt mir am besten: