Rootpipe: Gravierende Sicherheitslücke in Yosemite gefunden
Kommentare

Emil Kvarnhammar, ein Mitarbeiter des schwedischen Sicherheitsunternehmens TrueSec, hat eine gravierende Lücke im OS X 10.10 Yosemite aufgespürt. Der auf den Namen Rootpipe getaufte Exploit erlaubt Angreifern durch eine “Privilege Escalation” (Rechteausweitung) vollen Zugriff auf das betroffene System. Apple wird wohl erst im kommenden Jahr einen Patch bereitstellen.

Rootpipe ermöglicht Rootzugang ohne die Eingabe des Passworts

Gegenüber TechWorld Sweden erklärte Kvarnhammar, er sei bei beim Durchstöbern der Admin-Operationen im Zuge von Vorbereitungen auf zwei Sicherheitsevents in Malmö und Stockholm auf die Schwachstelle gestoßen. Durch diese sei es dem Administrator möglich, ohne die Eingabe eines Passworts Rootzugang zum Computer zu erlangen und so Systemdateien zu verändern. Da standardmäßig das zuerst angelegte Nutzerkonto als Administrator festgelegt ist, kann diese Art der Rechteausweitung äußerst problematisch werden.

Lücke sowohl in 10.8.5 Mountain Lion, als auch in 10.10 Yosemite

Der Exploit funktioniere beim Mac-Betriebssystem 10.8.5 Mountain Lion und mit kleineren Modifikationen auch in der aktuellen Version 10.10 Yosemite – bei OS X 10.9 bislang nicht.

TrueSec gibt Apple bis Januar zur Bereitstellung eines Patches

TrueSec hat Apple bereits über den Fehler informiert. Die Schwachstelle wurde zwar nicht offiziell bestätigt, aber die Einigung darauf, dass Details zur Lücke erst im kommenden Jahr veröffentlicht werden, spricht an dieser Stelle für sich. Bis Januar 2015 soll der Mac-Hersteller Zeit haben, entsprechende Patches zu entwickeln. Dies gab Emil Kvarnhammar über Twitter bekannt:

Das sollten Mac-User bis dahin tun:

Bis Abhilfe geschaffen ist, empfiehlt TrueSec, den Standard-Account des Macs nicht mit Administrator-Rechten zu betreiben. Auch die Aktivierung der Verschlüsselungsfunktion FileVault soll die Festplatze schützen können.

Dieses von TrueSec veröffentlichte Video zeigt, wie der Exploit ausgeführt wird:

 

Aufmacherbild: Security concept: blue opened padlock on digital background, 3d render via Shutterstock / Urheberrecht: Maksim Kabakou

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -