Eine große Sudo-Sicherheitslücke im MacOS bleibt vorerst offen

Linux-Distributionen haben den Fehler bereits beseitigt – er kann sehr einfach ausgenutzt werden (Redaktion 7. Februar 2021)

Dies ist ein ziemlich böser Fehler, der kürzlich von Sicherheitsforschern veröffentlicht wurde: Eine auf Unix- und Linux-Systemen weit verbreitete Sudo-Sicherheitsanfälligkeit kann verwendet werden, um beliebige Befehle mit Root-Rechten auszuführen. Während Linux-Distributionen schnell mit Updates reagierten, kamen einige Tage später die nächsten schlechten Nachrichten: Apples macOS trifft auch darauf zu.

Kein Sicherheitsfix in Sicht

Schwere Sicherheitslücke in Sudo
Schwere Sicherheitslücke in Sudo

Das unangenehmste Detail ist jetzt das folgende: Wie Sicherheitsforscher warnen, ist die Sicherheitsanfälligkeit in macOS immer noch offen. Selbst das Sicherheitsupdate für das Betriebssystem von Apple Anfang dieser Woche ändert nichts. Dies bedeutet, dass normale Benutzer weiterhin problemlos erweiterte Berechtigungen erhalten können.

Riskant, da die Lücke kinderleicht nutzbar ist

Der Ausdruck „ziemlich einfach“ ist nicht übertrieben: Erstellen Sie einfach einen symbolischen Link zu Sudo in Ihrem lokalen Verzeichnis und rufen Sie dann mit diesem einzeiligen Eintrag den sogenannten „Heap-Überlauf“ auf. Das zugehörige Skript enthält nur wenige Zeilen. Sudo ist ein Befehlszeilenprogramm, das speziell entwickelt wurde, um normalen Benutzern erhöhte Berechtigungen für bestimmte Anwendungen zu gewähren. Aber nur, wenn sie die Erlaubnis dazu haben – und erst nach Eingabe eines Passworts. Der spezifische Fehler ist auf eine fehlerhafte oder ungesicherte Verarbeitung von Befehlszeilenparametern zurückzuführen.

Kritik an Apple

Der Vorfall enthüllt eine alte Kritik an Apple: Das Unternehmen reagiert eher langsam auf Sicherheitsprobleme in macOS – insbesondere im Vergleich zu einer Vielzahl freiwilliger Linux-Distributionen. Gleichzeitig könnte man aber auch fragen, warum Apple anscheinend nicht im Voraus informiert wurde – was bedeutet, dass es nicht möglich war, das Update gleichzeitig zu veröffentlichen.


Erstellt am: 7. Februar 2021

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

Schreibe einen Kommentar