Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitslücke soll angeblich Umgehung von Gatekeeper ermöglichen

Schon seit macOS 10.5 sorgt Apple mit der Schutzfunktion Gatekeeper dafür, dass aus dem Internet heruntergeladene Software nicht ohne weiteres gestartet werden kann. Ein italienischer Sicherheitsexperte will nun herausgefunden haben, dass sich dieser Mechanismus umgehen lässt. Allerdings liegt die Hürde für mögliche Angreifer relativ hoch.


Gatekeeper schützt nur interne Massenspeicher
Kern des Problems ist Filippo Cavallarin zufolge die Tatsache, dass Gatekeeper nur interne Massenspeicher schützt. Externe Festplatten und Netzlaufwerke betrachte die Schutzfunktion als sicher. Die Ausführung von Programmen, die dort abgelegt seien, erlaube Gatekeeper daher auch dann, wenn sie nicht von Apple signiert seien. Angreifer könnten daher laut Cavallarin, der für das italienische Sicherheitsunternehmen Segment arbeitet, Schadcode auf einen Mac schleusen.


Symlink führt zur Malware
Bei seinem Exploit nutzte Cavallarin zwei in macOS enthaltene Features, die jedes für sich zunächst kein Problem darstellen: Das automatische Mounten eines Netzlaufwerks mittels einer speziellen Pfadangabe und die Möglichkeit, in einer ZIP-Datei einen symbolischen Link (Symlink) zu speichern. Um die Lücke zu demonstrieren, legte der Sicherheitsforscher daher in einem solchen File einen Link auf ein unter seiner Kontrolle stehendes externes NFS-Verzeichnis ab, in dem ein ausführbares Programm lag, in diesem Fall der Aufruf der Shell im Terminal. Dieses konnte er dann unter Umgehung von Gatekeeper starten.

Angriff erfordert Aktionen des Benutzers
Ein Angreifer, der diese Lücke ausnutzen will, ist allerdings auf die tatkräftige Mithilfe des Benutzers angewiesen; eine automatische Ausführung von Schadcode ist auf diese Art und Weise nicht möglich. Das potenzielle Opfer muss nämlich die infizierte ZIP-Datei erst einmal herunterladen und entpacken. Anschließend muss der Nutzer den Symlink und damit das externe Verzeichnis im Finder öffnen und schließlich die darin enthaltene Anwendung starten. Die Hürde für einen erfolgreichen Abschluss des Angriffs liegt also relativ hoch.
Übersicht: Viele Neuerungen in iOS 17.4
Übersicht: Viele Neuerungen in iOS 17.4
M4-Roadmap
M4-Roadmap
Schutz für gestohlene Geräte aktivieren – am besten gleich!
Schutz für gestohlene Geräte aktivieren – am be...
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
Apple Watch 10: Mehr Laufzeit dank neuer OLED-Konstruktion?
Apple Watch 10: Mehr Laufzeit dank neuer OLED-K...
Update-Abend: Apple gibt macOS 14.4, watchOS 10.4 und tvOS 17.4 in der finalen Version frei
Update-Abend: Apple gibt macOS 14.4, watchOS 10...
iOS-Tipp: Wie Sie den Download aus alternativen App-Marktplätzen von vornherein ausschließen
iOS-Tipp: Wie Sie den Download aus alternativen...
iOS 17.4.1, macOS 14.4.1 und weitere: Updates beheben kritische Sicherheitslücken
iOS 17.4.1, macOS 14.4.1 und weitere: Updates b...

Kommentare

Keine Kommentare vorhanden.

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.