Die System Integrity Protection (SIP) stellt ein zentrales Sicherheits-Feature von macOS dar. Sie isoliert Speicherbereiche voneinander, so dass jedes Programm nur die ihm zugewiesenen Informationen lesen und verändern kann. Zudem trennt sie System- von Nutzerprozessen. Die graduelle Einführung von SIP bedeutete für viele Entwickler maßgebliche Änderungen, da macOS bei aktiver SIP keine Kernel-Erweiterungen aus dritter Hand zulässt. Offenbar wies macOS 15 (Sequoia) monatelang eine eklatante Lücke auf – sie ermöglichte das willkürliche Auslesen des Speichers sämtlicher Prozesse. Auf der Sicherheitskonferenz Nullcon berichtete der Entdecker von der eklatanten Sicherheitslücke.


Der Sicherheitsforscher Koh M. Nakagawa stolperte mehr oder weniger über die Sicherheitslücke, als er die Mac-Version des Kommandozeilenprogramms Procdump ausprobierte. Microsoft stellt es als kostenloses Analysewerkzeug bereit; es gibt Speicherinhalte definierter Prozesse aus. Dies sollte ohne entsprechende Berechtigungen bei aktiver SIP unmöglich sein – doch das Programm arbeitete tadellos. Nakagawa analysierte den Code und stellte fest, dass es das vorinstallierte Werkzeug gcore ansprach. Dieses ist seit 2016 Teil des Open-Source-Anteils von macOS (Darwin), erhielt jedoch jüngst zusätzliche Berechtigungen. Damit war es möglich, Speicherinhalte sämtlicher Programme auszugeben – ohne dass vorher eine entsprechende Erlaubnis des Nutzers abgefragt wurde.


Passwörter und App-Inhalte
Zu Demonstrationszwecken programmierte Nakagawa ein Skript, welches den Speicher des Prozesses "securityd" auslas und den Hauptschlüssel für den Anmeldungsschlüsselbund aufspürte. Ebenso konnte er Informationen sensitiver Apps abgreifen, sofern sie auf einem Mac liefen, unter anderem Inhalte der Kontakte-App oder PDFs, welche die Vorschau derzeit anzeigt. Sogar iOS-Apps, welche via FairPlay verschlüsselt waren, ließen sich auf diese Weise am Mac entschlüsseln.

Problem behoben im (aktuellen!) macOS Sequoia
Entsprechend des Responsible-Disclosure-Verfahrens meldete der Sicherheitsforscher die Lücke an Apple; sie erhielt den CVE-Eintrag 2025-24204. Bereits mit dem Update auf macOS 15.3 entfernte Apple die problematische Berechtigung. In den Sicherheitsanmerkungen zu macOS 15.4 gab Apple die schwerwiegende Kernel-Lücke bekannt und verkündete, sie endgültig behoben zu haben. Wer also seinen Mac in einer früheren Sequoia-Version betreibt, sollte schnellstmöglich macOS aktualisieren.