Kritisches Leck in früheren iOS- und MacOS-Versionen

Kritisches Leck in früheren iOS- und MacOS-Versionen

(Quelle: Pixabay/RoAll)
20. Januar 2021 - In MacOS vor Big Sur und iOS vor 13.5 klafft eine einfach auszunutzende kritische Schwachstelle.
Sicherheitsforscher Zhipeng Huo warnt vor einer Schwachstelle, die in bisherigen Versionen von MacOS und iOS/iPadOS auftritt. Über einen Bug in der XPC-Schnittstelle kann Malware erweiterte Rechte erlangen. Laut Huo handelt es sich um einen Logikfehler beim Umgang mit den XPC-Services durch den launchd-Prozess, einer der zentralsten Komponenten der beiden Betriebssysteme, der sich "einfach und hundertprozentig zum Erhalt hoher Berechtigungen ausnutzen lässt." Auch das CERT des deutschen Bundesamtes für Informationssicherheit in der Informationstechnik (BSI) stuft das Risiko dieses Bugs als sehr hoch ein.

Das OS prüfte in der Vergangenheit beim Aufruf von launchd nicht, ob der aufrufende Prozess tatsächlich der Owner des gewünschten Prozessbereichs ist. Damit ist es sogar möglich, dass Malware aus der striktesten Sandbox ausbrechen kann. Das Problem soll in allen MacOS-Versionen vor MacOS 11 Big Sur und in iOS/iPadOS vor Version 13.5 auftreten – MacOS und iOS teilen sich einen fast identischen launchd-Code. Apple wurde bereits letztes Jahr über die als CVE-2020-9971 bezeichnete Schwachstelle informiert. In den neuesten Betriebssystemen MacOS Big Sur und iOS/iPadOS 14 ist das Leck gestopft. Für ältere Ausgaben gibt es jedoch bis dato keinen Patch. (ubi)

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER